À propos des fonctionnalités de sécurité de GitHub
GitHub dispose de fonctionnalités de sécurité qui aident à sécuriser le code et les secrets dans les dépôts et au sein des organisations. Certaines fonctionnalités sont disponibles pour les dépôts de tous les plans. Des fonctionnalités supplémentaires sont disponibles pour les entreprises qui utilisent GitHub Advanced Security. Les fonctionnalités GitHub Advanced Security sont aussi activées pour tous les dépôts publics sur GitHub.com. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».
La GitHub Advisory Database contient une liste organisée de vulnérabilités de sécurité que vous pouvez afficher, rechercher et filtrer. Pour plus d’informations, consultez « Exploration des avis de sécurité dans la base de données GitHub Advisory ».
Fonctionnalités disponibles pour tous les dépôts
Stratégie de sécurité
Permettez à vos utilisateurs de signaler de manière confidentielle les vulnérabilités de sécurité qu’ils ont détectées dans votre dépôt. Pour plus d’informations, consultez « Ajout d’une stratégie de sécurité à votre dépôt ».
Avis de sécurité
Discutez des vulnérabilités de sécurité dans le code de votre dépôt et corrigez-les en privé. Vous pouvez ensuite publier un avis de sécurité pour alerter votre communauté sur la vulnérabilité et encourager les membres de la communauté à effectuer une mise à niveau. Pour plus d’informations, consultez « À propos des avis de sécurité des référentiels ».
Dependabot alerts et mises à jour de sécurité
Affichez des alertes sur les dépendances connues pour contenir des vulnérabilités de sécurité et choisissez si des demandes de tirage (pull request) sont générées automatiquement pour mettre à jour ces dépendances. Pour plus d’informations, consultez « À propos des alertes Dependabot » et « À propos des mises à jour de sécurité Dependabot ».
Vous pouvez utiliser les Règles de triage automatique de Dependabot par défaut, définies par GitHub, pour filtrer automatiquement un nombre important de faux positifs. Dismiss low impact issues for development-scoped dependencies est une règle prédéfinie pour GitHub. Cette règle ignore automatiquement certains types de vulnérabilités trouvées dans les dépendances npm utilisées dans le cadre du développement. La règle a été organisée de manière à réduire les faux positifs et la fatigue des alertes. La règle est activée par défaut pour les référentiels publics et peut être activée pour les dépôts privés. Toutefois, vous ne pouvez pas modifier les Présélections GitHub. Pour plus d’informations, consultez « Utilisation de règles prédéfinies GitHub pour classer les alertes Dependabot par ordre de priorité ».
Pour obtenir une vue d’ensemble des différentes caractéristiques offertes par Dependabot et des instructions de prise en main, consultez « Guide de démarrage rapide Dependabot .»
Dependabot version updates
Utilisez Dependabot pour déclencher automatiquement des demandes de tirage afin de maintenir vos dépendances à jour. Cela aide à réduire votre exposition aux versions antérieures des dépendances. L’utilisation de versions plus récentes facilite l’application de correctifs si des vulnérabilités de sécurité sont découvertes et facilite également le déclenchement de demandes de tirage par les Dependabot security updates pour la mise à niveau des dépendances vulnérables. Vous pouvez également personnaliser Dependabot version updates pour simplifier leur intégration dans vos référentiels. Pour plus d’informations, consultez « À propos des mises à jour de version Dependabot ».
Graphe de dépendances
Le graphe de dépendances vous permet d’explorer les écosystèmes et les packages dont dépend votre dépôt ainsi que les dépôts et les packages qui dépendent de votre dépôt.
Vous trouverez le graphe de dépendances sous l’onglet Insights de votre dépôt. Pour plus d’informations, consultez « À propos du graphe de dépendances ».
Si vous disposez au moins d’un accès en lecture au dépôt, vous pouvez exporter les graphe des dépendances pour le dépôt en tant que nomenclature logicielle compatible SPDX (SBOM), via l’interface utilisateur de GitHub ou l’API REST GitHub. Pour plus d’informations, consultez « Exportation d’une nomenclature logicielle pour votre dépôt ».
Vue d’ensemble de la sécurité pour les dépôts
Une vue d’ensemble de la sécurité montre quelles fonctions de sécurité sont activées pour le dépôt et vous laisse configurer toutes les fonctions de sécurité disponibles qui ne sont pas déjà activées.
Disponible pour les dépôts publics gratuits
Alertes d’analyse des secrets pour les utilisateurs
Détectez automatiquement les jetons ou les identifiants qui ont été archivés dans un dépôt public. Vous pouvez voir les alertes relatives aux secrets trouvés par GitHub dans votre code, sous l’onglet Sécurité du dépôt. Ainsi, vous savez quels sont les jetons ou les informations d’identification dont la sécurité est compromise. Pour plus d’informations, consultez « À propos de l’analyse des secrets ».
Protection par émission de données pour les utilisateurs
La protection push pour les utilisateurs vous protège automatiquement contre la validation accidentelle des secrets dans les référentiels publics, que l'option secret scanning soit activée ou non pour le référentiel lui-même. La protection push pour les utilisateurs est activée par défaut, mais vous pouvez désactiver la caractéristique à tout moment via vos paramètres de compte personnel. Pour plus d’informations, consultez « Protection par émission de données pour les utilisateurs ».
Alertes d’analyse des secrets pour les partenaires
Détectez automatiquement les secrets fuités sur tous les dépôts publics, ainsi que sur les packages npm publics. GitHub informe le fournisseur de services approprié que le secret peut être compromis. Pour plus d’informations sur les secrets et les fournisseurs de services pris en charge, consultez « Modèles d'analyse des secrets ».
Fonctionnalités disponibles avec GitHub Advanced Security
Les fonctionnalités de GitHub Advanced Security suivantes sont disponibles et gratuites pour les dépôts publics sur GitHub.com. Les organisations qui utilisent GitHub Enterprise Cloud avec une licence pour GitHub Advanced Security peuvent utiliser l’ensemble complet de fonctionnalités dans l’un de leurs dépôts. Pour obtenir la liste des fonctionnalités disponibles avec GitHub Enterprise Cloud, consultez la documentation GitHub Enterprise Cloud.
Pour plus d’informations sur la façon dont vous pouvez essayer GitHub Enterprise gratuitement avec GitHub Advanced Security, consultez « Configuration d’un essai de GitHub Enterprise Cloud » et « Configuration d’un essai de GitHub Advanced Security » dans la documentation GitHub Enterprise Cloud.
Code scanning
Détectez automatiquement les vulnérabilités de sécurité et les erreurs de codage dans le code nouveau ou modifié. Les problèmes potentiels sont mis en surbrillance, avec des informations détaillées, ce qui vous permet de corriger le code avant qu’il ne soit fusionné dans votre branche par défaut. Pour plus d’informations, consultez « À propos de l’analyse du code ».
Alertes d’analyse des secrets pour les utilisateurs
Détectez automatiquement les jetons ou les informations d’identification qui ont été archivés dans un dépôt. Vous pouvez voir les alertes relatives aux secrets trouvés par GitHub dans votre code, sous l’onglet Sécurité du dépôt. Ainsi, vous savez quels sont les jetons ou les informations d’identification dont la sécurité est compromise. Pour plus d’informations, consultez « À propos de l’analyse des secrets »
Règles de triage automatique personnalisées
Vous aide à gérer vos Dependabot alerts à grande échelle. Les Règles de triage automatique personnalisées permettent de contrôler les alertes ignorées et désactivées temporairement, ou de déclencher un correctif de sécurité Dependabot. Pour plus d’informations, consultez « À propos des alertes Dependabot » et « Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité ».
Vérification des dépendances
Montrez l’impact complet des modifications apportées aux dépendances et examinez les détails de toutes les versions vulnérables avant de fusionner une demande de tirage. Pour plus d’informations, consultez « À propos de la vérification des dépendances ».