Note
Este artículo forma parte de una serie sobre la adopción de GitHub Advanced Security a escala. Para obtener el artículo anterior de esta serie, consulta Fase 4: Creación de documentación interna.
Puedes habilitar rápidamente las características de seguridad a gran escala con una security configuration, una colección de valores de configuración de habilitación de la seguridad que puedes aplicar a los repositorios de una organización. A continuación, puede personalizar aún más las características de GitHub Advanced Security a nivel de organización con global settings. Consulte "Habilitación de características de seguridad a gran escala".
Habilitación del análisis de código
Después de probar code scanning y crear documentación interna para procedimientos recomendados, puede habilitar code scanning en toda la empresa. Puede configurar code scanning por defecto para todos los repositorios de una organización desde la vista general de seguridad. Para más información, consulta Establecimiento de la configuración predeterminada para el examen de código a gran escala.
Para algunos lenguajes o sistemas de compilación, es posible que tenga que configurar en su lugar la configuración avanzada para code scanning para obtener una cobertura completa del código base. Sin embargo, la configuración avanzada requiere mucho más esfuerzo para configurar, personalizar y mantener, por lo que se recomienda habilitar primero la configuración predeterminada.
Creación de conocimientos sobre la materia
Para administrar y usar correctamente los datos code scanning en toda la empresa, debe crear conocimientos internos sobre la materia. Para la configuración predeterminada de code scanning, una de las áreas más importantes para los expertos en la materia (PYME) para comprender es interpretar y corregir code scanning alertas. Para más información sobre las alertas code scanning, consulte:
- Acerca de las alertas de análisis de código
- Evaluación de alertas de análisis de código para el repositorio
- Resolución de alertas de análisis de código
También necesitará pymes si necesita usar la configuración avanzada para code scanning. Estas pymes necesitarán conocimiento de las alertas de code scanning, así como temas como GitHub Actions y personalización de los flujos de trabajo de code scanning para marcos concretos. Para configuraciones personalizadas de configuración avanzada, considere la posibilidad de ejecutar reuniones en temas complicados para escalar el conocimiento de varias PYME a la vez.
En el caso de las alertas de code scanning del análisis de CodeQL, puede utilizar la información general sobre seguridad para ver cómo se está comportando CodeQL en las solicitudes de introducción de cambios en repositorios de toda su organización, y para identificar repositorios en los que puede que necesite tomar medidas. Para más información, consulta Visualización de métricas para alertas de solicitud de incorporación de cambios.
Note
Para ver el siguiente artículo de esta serie, consulta Fase 6: Lanzamiento y escalado del análisis de secretos.