Dieser Artikel ist Teil einer Reihe zur Einführung von GitHub Advanced Security nach Maß. Den vorherigen Artikel dieser Reihe findest du unter Phase 4: Erstellen interner Dokumentation.
Mit GitHub-recommended security configuration, einer Sammlung von Sicherheitseinstellungen, die Sie auf Repositorys in einer Organisation anwenden können, können Sie Sicherheitsfunktionen schnell in großem Umfang aktivieren. Mit GitHub Advanced Security können Sie dann weitere Features auf Organisationsebene mit global settings anpassen. Weitere Informationen finden Sie unter Informationen zum Aktivieren von Sicherheitsfeatures im großen Stil.
Aktivieren der Codeüberprüfung
Nach einem Pilotversuch von code scanning und der Erstellung einer internen Dokumentationen für bewährte Methoden können Sie code scanning im gesamten Unternehmen aktivieren. Sie können die code scanning-Standardeinrichtung für alle Repositorys in einer Organisation aus der Sicherheitsübersicht konfigurieren. Weitere Informationen findest du unter Konfigurieren des Standardsetups für das Codescanning im großen Stil.
Bei einigen Sprachen oder Buildsystemen müssen Sie möglicherweise stattdessen das erweiterte Setup für code scanning konfigurieren, um eine vollständige Abdeckung Ihrer Codebasis zu erhalten. Die erweiterte Einrichtung erfordert jedoch einen deutlich höheren Aufwand für die Konfiguration, Anpassung und Wartung, weshalb wir empfehlen, zunächst die Standardeinrichtung zu aktivieren.
Aufbau von Fachkompetenz
Um code scanning in Ihrem Unternehmen erfolgreich zu verwalten und zu verwenden, müssen Sie interne Fachkompetenzen aufbauen. Für die Standardeinrichtung für code scanning ist einer der wichtigsten Bereiche, den Fachexperten (SMEs) verstehen müssen, das Interpretieren und Beheben von code scanning-Warnungen. Weitere Informationen über code scanning-Warnungen finden Sie unter:
- Informationen zu Codeüberprüfungswarnungen
- Bewerten von Warnungen der Codeüberprüfung für das Repository
- Problemlösung für Warnungen der Codeüberprüfung
Sie benötigen auch SMEs, wenn Sie die erweiterte Einrichtung für code scanning verwenden müssen. Diese SMEs benötigen Kenntnisse über code scanning-Warnungen sowie Themen wie GitHub Actions und dem Anpassen von code scanning-Workflows für bestimmte Frameworks. Bei benutzerdefinierten Konfigurationen der erweiterten Einrichtung ziehen Sie Besprechungen zu komplizierten Themen in Betracht, um das Wissen mehrerer SMEs gleichzeitig zu vergrößern.
Für code scanning-Warnungen aus CodeQL-Analyse können Sie mithilfe der Sicherheitsübersicht sehen, wie CodeQL in Pull Requests in Repositorys in Ihrer Organisation abschneidet, und Repositorys ermitteln, bei denen gegebenenfalls Maßnahmen zu ergreifen sind. Weitere Informationen findest du unter Anzeigen von Metriken für Pull Request-Warnungen.
Den nächsten Artikel in dieser Reihe findest du unter Phase 6: Rollout und Skalierung der Geheimnisüberprüfung.