本文是大规模采用 GitHub Advanced Security 系列的一部分。 有关本系列的上一篇文章,请参阅“第 4 阶段:创建内部文档”。
可以使用 GitHub-recommended security configuration 大规模启用安全功能,这是可应用于组织中的存储库的安全启用设置集合。 然后,可以使用 global settings 在组织级别进一步自定义 GitHub Advanced Security 功能。 请参阅“关于批量启用安全功能”。
启用代码扫描
在试点 code scanning 并创建最佳做法的内部文档后,可以在公司内启用 code scanning。 可以从安全概述来为组织中的所有存储库配置 code scanning 默认设置。 有关详细信息,请参阅“配置大规模代码扫描的默认设置”。
对于某些语言或生成系统,可能需要改为为 code scanning 配置高级设置,以便全面了解代码库。 但是,高级设置需要在配置、自定义和维护上投入更多工作量,因此我们建议首先启用默认设置。
构建主题专业知识
要在整个公司中成功管理和使用 code scanning,应构建内部主题专业知识。 对于 code scanning 的默认设置,主题专家 (SME) 最需了解的领域之一是解释和修复 code scanning 警报。 有关 code scanning 警报的详细信息,请参阅:
- “关于代码扫描警报”
- “评估存储库的代码扫描警报”
- “解决代码扫描警报”
如果需要对 code scanning 使用高级设置,则还需要 SME。 这些 SME 需要了解 code scanning 警报,以及 GitHub Actions 等主题,并能够为特定框架自定义 code scanning 工作流。 对于高级设置的自定义配置,请考虑针对复杂主题召开会议,以一次性提高多个 SME 的知识水平。
对于来自 CodeQL 分析的 code scanning 警报,可以使用安全概览查看 CodeQL 在整个组织的存储库中的拉取请求中的执行情况,并确定可能需要采取措施的存储库。 有关详细信息,请参阅“查看拉取请求警报的指标”。
有关本系列的下一篇文章,请参阅“第 6 阶段:推出和缩放机密扫描”。