Skip to main content

Phase 5 : Déployer et mettre à l’échelle l’analyse du code

Vous pouvez tirer parti des API disponibles pour déployer l’code scanning par programmation par équipe et par langage dans votre entreprise à l’aide des données de dépôt que vous avez collectées précédemment.

Note

Cet article fait partie d’une série sur l’adoption de GitHub Advanced Security à grande échelle. Pour l’article précédent de cette série, consultez Phase 4 : Créer une documentation interne.

Vous pouvez rapidement activer les fonctionnalités de sécurité à grande échelle avec a security configuration, une collection de paramètres d’activation de sécurité que vous pouvez appliquer aux référentiels d’une organisation. Vous pouvez ensuite personnaliser davantage les fonctionnalités de GitHub Advanced Security au niveau de l’organisation avec les global settings. Consultez « À propos de l'activation des fonctionnalités de sécurité à grande échelle ».

Activation de l’analyse du code

Après avoir piloté code scanning et créé une documentation interne pour les meilleures pratiques, vous pouvez activer code scanning dans votre entreprise. Vous pouvez utiliser la configuration par défaut code scanning pour tous les référentiels d’une organisation à partir de la vue d'ensemble de la sécurité. Pour plus d’informations, consultez « Définition de la configuration par défaut pour l’analyse du code à grande échelle ».

Pour certains langages ou systèmes de génération, vous devrez peut-être utiliser une configuration avancée pour code scanning pour obtenir une couverture complète de votre codebase. Toutefois, la configuration avancée nécessite beaucoup plus d’efforts pour la configuration, la personnalisation et la gestion. Nous vous recommandons donc d’activer d’abord la configuration par défaut.

Création d’une expertise en matière

Pour gérer et utiliser code scanning dans votre entreprise, vous devez créer une expertise interne en matière d’objet. Pour la configuration par défaut de code scanning, l’un des domaines les plus importants que les experts en la matière (PME) doivent comprendre est l’interprétation et la correction des alertes code scanning. Pour plus d’informations sur les alertes code scanning, consultez :

Vous aurez également besoin de PME si vous devez utiliser la configuration avancée pour code scanning. Ces PME auront besoin de connaissances sur les alertes code scanning, ainsi que sur des rubriques telles que GitHub Actions et la personnalisation des flux de travail code scanning pour des cadres spécifiques. Pour les configurations personnalisées d’une configuration avancée, envisagez d’exécuter des réunions sur des sujets complexes pour mettre à l’échelle les connaissances de plusieurs PME à la fois.

Pour les alertes code scanning issues de l’analyse CodeQL, vous pouvez utiliser la vue d’ensemble de la sécurité pour voir comment CodeQL se comporte dans les demandes de tirage (pull requests) dans les référentiels de votre organisation, et pour identifier les référentiels dans lesquels vous pourriez avoir besoin de prendre des mesures. Pour plus d’informations, consultez « Affichage des métriques pour les alertes de demande de tirage ».

Note

Pour l’article suivant de cette série, consultez Phase 6 : Déployer et mettre à l’échelle l’analyse des secrets.