Cet article fait partie d’une série sur l’adoption de GitHub Advanced Security à grande échelle. Pour l’article précédent de cette série, consultez « Phase 4 : Créer une documentation interne ».
Activation de l’analyse du code
Après avoir piloté code scanning et créé une documentation interne pour les meilleures pratiques, vous pouvez activer code scanning dans votre entreprise. Vous pouvez utiliser la configuration par défaut code scanning pour tous les référentiels d’une organisation à partir de la vue d'ensemble de la sécurité. Pour plus d’informations, consultez « Définition de la configuration par défaut pour l’analyse du code à grande échelle ».
Pour certains langages ou systèmes de génération, vous devrez peut-être utiliser une configuration avancée pour code scanning pour obtenir une couverture complète de votre codebase. Toutefois, la configuration avancée nécessite beaucoup plus d’efforts pour la configuration, la personnalisation et la gestion. Nous vous recommandons donc d’activer d’abord la configuration par défaut.
Création d’une expertise en matière
Pour gérer et utiliser code scanning dans votre entreprise, vous devez créer une expertise interne en matière d’objet. Pour la configuration par défaut de code scanning, l’un des domaines les plus importants que les experts en la matière (PME) doivent comprendre est l’interprétation et la correction des alertes code scanning. Pour plus d’informations sur les alertes code scanning, consultez :
Vous aurez également besoin de PME si vous devez utiliser la configuration avancée pour code scanning. Ces PME auront besoin de connaissances sur les alertes code scanning, ainsi que sur des rubriques telles que GitHub Actions et la personnalisation des flux de travail code scanning pour des cadres spécifiques. Pour les configurations personnalisées d’une configuration avancée, envisagez d’exécuter des réunions sur des sujets complexes pour mettre à l’échelle les connaissances de plusieurs PME à la fois.
Pour l’article suivant de cette série, consultez « Phase 6 : Déployer et mettre à l’échelle l’analyse des secrets ».