Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.
All products
Sécurité du code

Fonctionnalités de sécurité de GitHub

Dans cet article

Vue d’ensemble des fonctionnalités de sécurité de GitHub.

À propos des fonctionnalités de sécurité de GitHub

GitHub dispose de fonctionnalités de sécurité qui aident à sécuriser le code et les secrets dans les dépôts et au sein des organisations. Certaines fonctionnalités sont disponibles pour les dépôts de tous les plans. Des fonctionnalités supplémentaires sont disponibles pour les entreprises qui utilisent GitHub Advanced Security. Les fonctionnalités GitHub Advanced Security sont aussi activées pour tous les dépôts publics sur GitHub.com. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

La GitHub Advisory Database contient une liste organisée de vulnérabilités de sécurité que vous pouvez afficher, rechercher et filtrer. Pour plus d’informations, consultez « Exploration des avis de sécurité dans la base de données GitHub Advisory ».

Fonctionnalités disponibles pour tous les dépôts

Stratégie de sécurité

Permettez à vos utilisateurs de signaler de manière confidentielle les vulnérabilités de sécurité qu’ils ont détectées dans votre dépôt. Pour plus d’informations, consultez « Ajout d’une stratégie de sécurité à votre dépôt ».

Avis de sécurité

Discutez des vulnérabilités de sécurité dans le code de votre dépôt et corrigez-les en privé. Vous pouvez ensuite publier un avis de sécurité pour alerter votre communauté sur la vulnérabilité et encourager les membres de la communauté à effectuer une mise à niveau. Pour plus d’informations, consultez « À propos des avis de sécurité des référentiels ».

Dependabot alerts et mises à jour de sécurité

Affichez des alertes sur les dépendances connues pour contenir des vulnérabilités de sécurité et choisissez si des demandes de tirage (pull request) sont générées automatiquement pour mettre à jour ces dépendances. Pour plus d’informations, consultez « À propos des alertes Dependabot » et « À propos des mises à jour de sécurité Dependabot ».

Mises à jour de version Dependabot

Utilisez Dependabot pour déclencher automatiquement des demandes de tirage afin de maintenir vos dépendances à jour. Cela aide à réduire votre exposition aux versions antérieures des dépendances. L’utilisation de versions plus récentes facilite l’application de correctifs si des vulnérabilités de sécurité sont découvertes et facilite également le déclenchement de demandes de tirage par les Dependabot security updates pour la mise à niveau des dépendances vulnérables. Pour plus d’informations, consultez « À propos des mises à jour de version Dependabot ».

Graphe de dépendances

Le graphe de dépendances vous permet d’explorer les écosystèmes et les packages dont dépend votre dépôt ainsi que les dépôts et les packages qui dépendent de votre dépôt.

Vous trouverez le graphe de dépendances sous l’onglet Insights de votre dépôt. Pour plus d’informations, consultez « À propos du graphe de dépendances ».

Vue d’ensemble de la sécurité pour les dépôts

La vue d’ensemble de la sécurité montre quelles fonctions de sécurité sont activées pour le référentiel et vous permet de configurer toutes les fonctions de sécurité disponibles qui ne sont pas déjà activées.

Disponible pour les dépôts publics gratuits

Alertes d’analyse des secrets pour les partenaires

Détectez automatiquement les secrets divulgués dans tous les dépôts publics. GitHub informe le fournisseur de services approprié que le secret peut être compromis. Pour plus d’informations sur les secrets et les fournisseurs de services pris en charge, consultez « Modèles d’analyse des secrets ».

Fonctionnalités disponibles avec GitHub Advanced Security

Les fonctionnalités de GitHub Advanced Security suivantes sont disponibles et gratuites pour les dépôts publics sur GitHub.com. Les organisations qui utilisent GitHub Enterprise Cloud avec une licence pour GitHub Advanced Security peuvent utiliser l’ensemble complet de fonctionnalités dans l’un de leurs dépôts. Pour obtenir la liste des fonctionnalités disponibles avec GitHub Enterprise Cloud, consultez la documentation GitHub Enterprise Cloud.

Code scanning

Détectez automatiquement les vulnérabilités de sécurité et les erreurs de codage dans le code nouveau ou modifié. Les problèmes potentiels sont mis en surbrillance, avec des informations détaillées, ce qui vous permet de corriger le code avant qu’il ne soit fusionné dans votre branche par défaut. Pour plus d’informations, consultez « À propos de l’analyse du code ».

Alertes d’analyse des secrets pour les utilisateurs

Détectez automatiquement les jetons ou les informations d’identification qui ont été archivés dans un dépôt. Vous pouvez voir les alertes relatives aux secrets trouvés par GitHub dans votre code, sous l’onglet Sécurité du dépôt. Ainsi, vous savez quels sont les jetons ou les informations d’identification dont la sécurité est compromise. Pour plus d’informations, consultez « À propos de l’analyse des secrets ». »

Vérification des dépendances

Montrez l’impact complet des modifications apportées aux dépendances et examinez les détails de toutes les versions vulnérables avant de fusionner une demande de tirage. Pour plus d’informations, consultez « À propos de la vérification des dépendances ».

Pour aller plus loin