Skip to main content

Phase 5: Rollout und Skalierung der Codeüberprüfung

Du kannst die verfügbaren APIs nutzen, um den Rollout von code scanning programmgesteuert nach Team und Sprache in deinem Unternehmen vorzunehmen, indem du die zuvor gesammelten Repositorydaten nutzt.

Note

Dieser Artikel ist Teil einer Reihe zur Einführung von GitHub Advanced Security nach Maß. Den vorherigen Artikel dieser Reihe findest du unter Phase 4: Erstellen interner Dokumentation.

Du kannst schnell Sicherheitsfeatures im großen Stil mit einer security configuration, eine Sammlung von Sicherheitsaktivierungseinstellungen, die du auf Repositorys in einer Organisation anwenden kannst. Mit GitHub Advanced Security können Sie dann weitere Features auf Organisationsebene mit global settings anpassen. Weitere Informationen finden Sie unter Informationen zum Aktivieren von Sicherheitsfeatures im großen Stil.

Aktivieren der Codeüberprüfung

Nach einem Pilotversuch von code scanning und der Erstellung einer internen Dokumentationen für bewährte Methoden können Sie code scanning im gesamten Unternehmen aktivieren. Sie können die code scanning-Standardeinrichtung für alle Repositorys in einer Organisation aus der Sicherheitsübersicht konfigurieren. Weitere Informationen finden Sie unter Konfigurieren des Standardsetups für das Codescanning im großen Stil.

Bei einigen Sprachen oder Buildsystemen müssen Sie möglicherweise stattdessen das erweiterte Setup für code scanning konfigurieren, um eine vollständige Abdeckung Ihrer Codebasis zu erhalten. Die erweiterte Einrichtung erfordert jedoch einen deutlich höheren Aufwand für die Konfiguration, Anpassung und Wartung, weshalb wir empfehlen, zunächst die Standardeinrichtung zu aktivieren.

Aufbau von Fachkompetenz

Um code scanning in Ihrem Unternehmen erfolgreich zu verwalten und zu verwenden, müssen Sie interne Fachkompetenzen aufbauen. Für die Standardeinrichtung für code scanning ist einer der wichtigsten Bereiche, den Fachexperten (SMEs) verstehen müssen, das Interpretieren und Beheben von code scanning-Warnungen. Weitere Informationen über code scanning-Warnungen finden Sie unter:

Sie benötigen auch SMEs, wenn Sie die erweiterte Einrichtung für code scanning verwenden müssen. Diese SMEs benötigen Kenntnisse über code scanning-Warnungen sowie Themen wie GitHub Actions und dem Anpassen von code scanning-Workflows für bestimmte Frameworks. Bei benutzerdefinierten Konfigurationen der erweiterten Einrichtung ziehen Sie Besprechungen zu komplizierten Themen in Betracht, um das Wissen mehrerer SMEs gleichzeitig zu vergrößern.

Für code scanning-Warnungen aus CodeQL-Analyse können Sie mithilfe der Sicherheitsübersicht sehen, wie CodeQL in Pull Requests in Repositorys in Ihrer Organisation abschneidet, und Repositorys ermitteln, bei denen gegebenenfalls Maßnahmen zu ergreifen sind. Weitere Informationen finden Sie unter Anzeigen von Metriken für Pull Request-Warnungen.

Note

Den nächsten Artikel in dieser Reihe findest du unter Phase 6: Rollout und Skalierung der Geheimnisüberprüfung.