Skip to main content

Sécurisation de votre organisation

Vous pouvez utiliser un certain nombre de fonctionnalités GitHub pour sécuriser votre organisation.

Who can use this feature

Organization owners can configure organization security settings.

Introduction

Ce guide vous montre comment configurer des fonctionnalités de sécurité pour une organisation. Les besoins de sécurité de votre organisation sont uniques et vous n’avez peut-être pas besoin d’activer chaque fonctionnalité de sécurité. Pour plus d’informations, consultez « Fonctionnalités de sécurité de GitHub ».

Certaines fonctionnalités sont disponibles pour les dépôts de tous les plans. Des fonctionnalités supplémentaires sont disponibles pour les entreprises qui utilisent GitHub Advanced Security. Les fonctionnalités GitHub Advanced Security sont aussi activées pour tous les dépôts publics sur GitHub.com. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Gestion de l’accès à votre organisation

Vous pouvez utiliser des rôles pour contrôler les actions que les personnes peuvent entreprendre dans votre organisation. Par exemple, vous pouvez attribuer le rôle de gestionnaire de sécurité à une équipe pour lui donner la possibilité de gérer les paramètres de sécurité au sein de votre organisation ainsi que l’accès en lecture à tous les référentiels. Pour plus d’informations, consultez « Rôles dans une organisation ».

Création d’une stratégie de sécurité par défaut

Vous pouvez créer une stratégie de sécurité par défaut qui s’affiche dans tous les dépôts publics de votre organisation dépourvus de stratégie de sécurité. Pour plus d’informations, consultez « Création d’un fichier d’intégrité de la communauté par défaut ».

Gestion des Dependabot alerts et du graphe de dépendances

GitHub détecte les vulnérabilités dans les dépôts publics et affiche le graphe de dépendances. Vous pouvez activer ou désactiver les Dependabot alerts pour tous les dépôts publics appartenant à votre organisation. Vous pouvez activer ou désactiver les Dependabot alerts et le graphe de dépendances pour tous les dépôts privés appartenant à votre organisation.

  1. Cliquez sur votre photo de profil, puis sur Organisations.
  2. Cliquez sur Paramètres en regard de votre organisation.
  3. Cliquez sur Sécurité et analyse.
  4. Cliquez sur Activer tout ou Désactiver tout en regard de la fonctionnalité que vous souhaitez gérer.
  5. Si vous le souhaitez, sélectionnez Activer automatiquement pour les nouveaux dépôts.

Pour plus d’informations, consultez « À propos des Dependabot alerts », « Exploration des dépendances d’un dépôt » et « Gestion des paramètres de sécurité et d’analyse pour votre organisation ».

Gestion de la révision des dépendances

La révision des dépendances est une fonctionnalité Advanced Security qui vous permet de visualiser les modifications de dépendance dans les demandes de tirage (pull request) avant qu’elles ne soient fusionnées dans vos dépôts. Pour plus d’informations, consultez « À propos de la révision des dépendances ».

La révision des dépendances est déjà activée pour tous les dépôts publics. Les organisations qui utilisent GitHub Enterprise Cloud avec Advanced Security peuvent également activer la révision des dépendances pour les dépôts privés et internes. Pour plus d’informations, consultez la documentation GitHub Enterprise Cloud.

Gestion des Dependabot security updates

Pour tout dépôt qui utilise des Dependabot alerts, vous pouvez activer les Dependabot security updates afin de déclencher des demandes de tirage avec des mises à jour de sécurité quand des vulnérabilités sont détectées. Vous pouvez également activer ou désactiver les Dependabot security updates pour tous les dépôts au sein de votre organisation.

  1. Cliquez sur votre photo de profil, puis sur Organisations.
  2. Cliquez sur Paramètres en regard de votre organisation.
  3. Cliquez sur Sécurité et analyse.
  4. Cliquez sur Activer tout ou Désactiver tout en regard de Dependabot security updates.
  5. Si vous le souhaitez, sélectionnez Activer automatiquement pour les nouveaux dépôts.

Pour plus d’informations, consultez « À propos des Dependabot security updates » et « Gestion des paramètres de sécurité et d’analyse pour votre organisation ».

Gestion des Dependabot version updates

Vous pouvez autoriser Dependabot à déclencher automatiquement des demandes de tirage afin de maintenir vos dépendances à jour. Pour plus d’informations, consultez « À propos des Dependabot version updates ».

Pour activer les Dependabot version updates, vous devez créer un fichier de configuration dependabot.yml. Pour plus d’informations, consultez « Configuration des mises à jour de version Dependabot ».

Configuration de l’secret scanning

L’Secret scanning est une fonctionnalité Advanced Security qui vérifie si les dépôts contiennent des secrets stockés de manière non sécurisée.

L’Secret scanning est déjà activée pour tous les dépôts publics. Les organisations qui utilisent GitHub Enterprise Cloud avec Advanced Security peuvent également activer l’secret scanning pour les dépôts privés et internes. Pour plus d’informations, consultez la documentation GitHub Enterprise Cloud.

Configuration de l’code scanning

L’Code scanning est une fonctionnalité Advanced Security qui vérifie si le code contient des vulnérabilités et des erreurs de sécurité.

L’Code scanning est disponible pour tous les dépôts publics. Les organisations qui utilisent GitHub Enterprise Cloud avec Advanced Security peuvent également utiliser l’code scanning pour les dépôts privés et internes.

L’Code scanning est configurée au niveau du dépôt. Pour plus d’informations, consultez « Configuration de code scanning pour un référentiel ».

Étapes suivantes

Vous pouvez afficher et gérer les alertes à partir des fonctionnalités de sécurité pour résoudre les dépendances et les vulnérabilités dans votre code. Pour plus d’informations, consultez « Consultation et mise à jour des Dependabot alerts »,  »Gestion des demandes de tirage pour les mises à jour des dépendances », « Gestion de l’code scanning pour votre dépôt » et « Gestion des alertes de l’secret scanning ».

Si vous avez une vulnérabilité de sécurité, vous pouvez créer un avis de sécurité pour discuter et résoudre en privé la vulnérabilité. Pour plus d’informations, consultez « À propos des avis de sécurité de dépôt » et « Création d’un avis de sécurité ».

Organisations qui utilisez GitHub Enterprise Cloud pouvez afficher, filtrer et trier des alertes de sécurité pour des référentiels détenus par their organisation en ce qui concerne la sécurité. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité » dans la documentation GitHub Enterprise Cloud.