この記事は、GitHub Advanced Security の大規模な導入に関するシリーズの一部です。 このシリーズの前の記事については「フェーズ 4: 内部ドキュメントを作成する」を参照してください。
組織内のリポジトリに適用できるセキュリティ有効化設定のコレクションである GitHub-recommended security configuration を使用すると、大規模なセキュリティ機能をすばやく有効にできます。 その後、global settings を使用して、さらに組織レベルで GitHub Advanced Security 機能をカスタマイズできます。 「大規模なセキュリティ機能の有効化について」をご覧ください。
Code Scanning の有効化
code scanning を試験運用し、ベスト プラクティスに関する内部ドキュメントを作成した後、会社全体で code scanning を有効にすることができます。 セキュリティの概要から、組織内のすべてのリポジトリの code scanning のデフォルト設定を構成できます。 詳しくは、「大規模なコード スキャンの既定のセットアップを構成する」を参照してください。
一部の言語またはビルド システムでは、代わりに code scanning の高度なセットアップを構成して、コードベースを完全にカバーすることが必要になる場合があります。 ただし、高度なセットアップでは、構成、カスタマイズ、および保守に非常に多くの労力が必要となるため、最初に既定のセットアップを有効にすることをお勧めします。
分野の専門知識を構築する
会社全体で code scanning を適切に管理および使用するには、社内の主題に関する専門知識を構築する必要があります。 code scanning の既定のセットアップでは、対象分野の専門家 (SME) が理解する最も重要な領域の 1 つは、code scanning アラートの解釈と修正です。 code scanning アラートの詳細については、以下を参照してください。
code scanning の高度なセットアップを使用する必要がある場合は、SME も必要です。 これらの SME には、code scanning アラートに加え、GitHub Actions や特定のフレームワーク向けの code scanning ワークフローのカスタマイズなどのトピックに関する知識が必要です。 高度なセットアップのカスタム構成の場合は、複雑なトピックに関する会議を開催して、複数の SME の知識を一度に広げることを検討してください。
CodeQL 解析からの code scanning アラートの場合、セキュリティの概要を使用して、CodeQL が組織全体のリポジトリの pull request でどのように実行されているかを確認したり、アクションを実行する必要があるリポジトリを特定したりできます。 詳しくは、「pull request アラートのメトリックの表示」を参照してください。
GitHub Copilot Enterprise ライセンスを使用すると、GitHub Copilot Chat に問い合わせて、組織内のリポジトリにある code scanning アラートについて理解を深めることもできます。 詳しくは、「GitHub.com で GitHub Copilot に関する質問をする」を参照してください。
このシリーズの次の記事については「フェーズ 6: secret scanning のロールアウトとスケーリング」を参照してください。