Este artículo forma parte de una serie sobre la adopción de GitHub Advanced Security a escala. Para obtener el artículo anterior de esta serie, consulta "Fase 4: Creación de documentación interna".
Puede habilitar rápidamente las características de seguridad a gran escala con GitHub-recommended security configuration, una colección de opciones de configuración de habilitación de seguridad que puede aplicar a los repositorios de una organización. A continuación, puede personalizar aún más las características de GitHub Advanced Security a nivel de organización con global settings. Consulte "Habilitación de características de seguridad a gran escala".
Habilitación del análisis de código
Después de probar code scanning y crear documentación interna para procedimientos recomendados, puede habilitar code scanning en toda la empresa. Puede configurar code scanning por defecto para todos los repositorios de una organización desde la vista general de seguridad. Para obtener más información, vea «Establecimiento de la configuración predeterminada para el examen de código a gran escala».
Para algunos lenguajes o sistemas de compilación, es posible que tenga que configurar en su lugar la configuración avanzada para code scanning para obtener una cobertura completa del código base. Sin embargo, la configuración avanzada requiere mucho más esfuerzo para configurar, personalizar y mantener, por lo que se recomienda habilitar primero la configuración predeterminada.
Creación de conocimientos sobre la materia
Para administrar y usar correctamente los datos code scanning en toda la empresa, debe crear conocimientos internos sobre la materia. Para la configuración predeterminada de code scanning, una de las áreas más importantes para los expertos en la materia (PYME) para comprender es interpretar y corregir code scanning alertas. Para más información sobre las alertas code scanning, consulte:
- "Acerca de las alertas de análisis de código"
- "Evaluación de alertas de análisis de código para el repositorio"
- "Resolución de alertas de análisis de código"
También necesitará pymes si necesita usar la configuración avanzada para code scanning. Estas pymes necesitarán conocimiento de las alertas de code scanning, así como temas como GitHub Actions y personalización de los flujos de trabajo de code scanning para marcos concretos. Para configuraciones personalizadas de configuración avanzada, considere la posibilidad de ejecutar reuniones en temas complicados para escalar el conocimiento de varias PYME a la vez.
En el caso de las alertas de code scanning del análisis de CodeQL, puede utilizar la información general sobre seguridad para ver cómo se está comportando CodeQL en las solicitudes de introducción de cambios en repositorios de toda su organización, y para identificar repositorios en los que puede que necesite tomar medidas. Para obtener más información, vea «Visualización de métricas para alertas de solicitud de incorporación de cambios».
Con una licencia de GitHub Copilot Enterprise, también puede pedir ayuda a GitHub Copilot Chat para comprender mejor las alertas de code scanning en los repositorios de su organización. Para obtener más información, vea «Preguntas a GitHub Copilot en GitHub».
Para ver el siguiente artículo de esta serie, consulta "Fase 6: Lanzamiento y escalado del análisis de secretos".