Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.
All products
Sécurité du code

Sécurisation de votre organisation

Dans cet article

Vous pouvez utiliser un certain nombre de fonctionnalités GitHub pour sécuriser votre organisation.

Qui peut utiliser cette fonctionnalité

Organization owners can configure organization security settings.

Introduction

Ce guide vous montre comment configurer des fonctionnalités de sécurité pour une organisation. Les besoins de sécurité de votre organisation sont uniques et vous n’avez peut-être pas besoin d’activer chaque fonctionnalité de sécurité. Pour plus d’informations, consultez « Fonctionnalités de sécurité de GitHub ».

Certaines fonctionnalités sont disponibles pour les dépôts de tous les plans. Des fonctionnalités supplémentaires sont disponibles pour les entreprises qui utilisent GitHub Advanced Security. Les fonctionnalités GitHub Advanced Security sont aussi activées pour tous les dépôts publics sur GitHub.com. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Gestion de l’accès à votre organisation

Vous pouvez utiliser des rôles pour contrôler les actions que les personnes peuvent entreprendre dans votre organisation. Par exemple, vous pouvez attribuer le rôle de gestionnaire de sécurité à une équipe pour lui donner la possibilité de gérer les paramètres de sécurité au sein de votre organisation ainsi que l’accès en lecture à tous les dépôts. Pour plus d’informations, consultez « Rôles dans une organisation ».

Création d’une stratégie de sécurité par défaut

Vous pouvez créer une stratégie de sécurité par défaut qui s’affiche dans tous les dépôts publics de votre organisation dépourvus de stratégie de sécurité. Pour plus d’informations, consultez « Création d’un fichier d’intégrité de la communauté par défaut ».

Gestion des Dependabot alerts et du graphe de dépendances

GitHub détecte les vulnérabilités dans les dépôts publics et affiche le graphe de dépendances. Vous pouvez activer ou désactiver les Dependabot alerts pour tous les dépôts publics appartenant à votre organisation. Vous pouvez activer ou désactiver les Dependabot alerts et le graphe de dépendances pour tous les dépôts privés appartenant à votre organisation.

  1. Cliquez sur votre photo de profil, puis sur Organisations.
  2. Cliquez sur Paramètres en regard de votre organisation.
  3. Cliquez sur Sécurité et analyse.
  4. Cliquez sur Activer tout ou Désactiver tout en regard de la fonctionnalité que vous souhaitez gérer.
  5. Si vous le souhaitez, sélectionnez Activer automatiquement pour les nouveaux dépôts.

Pour plus d’informations, consultez « À propos des alertes Dependabot », « Exploration des dépendances d’un dépôt » et « Gestion des paramètres de sécurité et d’analyse pour votre organisation ».

Gestion de la révision des dépendances

La révision des dépendances est une fonctionnalité Advanced Security qui vous permet de visualiser les modifications de dépendance dans les demandes de tirage (pull request) avant qu’elles ne soient fusionnées dans vos dépôts. Pour plus d’informations, consultez « À propos de la vérification des dépendances ».

La révision des dépendances est déjà activée pour tous les dépôts publics. Les organisations qui utilisent GitHub Enterprise Cloud avec Advanced Security peuvent également activer la révision des dépendances pour les dépôts privés et internes. Pour plus d’informations, consultez la documentation GitHub Enterprise Cloud.

Gestion des Dependabot security updates

Pour tout dépôt qui utilise des Dependabot alerts, vous pouvez activer les Dependabot security updates afin de déclencher des demandes de tirage avec des mises à jour de sécurité quand des vulnérabilités sont détectées. Vous pouvez également activer ou désactiver les Dependabot security updates pour tous les dépôts au sein de votre organisation.

  1. Cliquez sur votre photo de profil, puis sur Organisations.
  2. Cliquez sur Paramètres en regard de votre organisation.
  3. Cliquez sur Sécurité et analyse.
  4. Cliquez sur Activer tout ou Désactiver tout en regard de Dependabot security updates.
  5. Si vous le souhaitez, sélectionnez Activer automatiquement pour les nouveaux dépôts.

Pour plus d’informations, consultez « À propos des mises à jour de sécurité Dependabot » et « Gestion des paramètres de sécurité et d’analyse pour votre organisation ».

Gestion des Dependabot version updates

Vous pouvez autoriser Dependabot à déclencher automatiquement des demandes de tirage afin de maintenir vos dépendances à jour. Pour plus d’informations, consultez « À propos des mises à jour de version Dependabot ».

Pour activer les Dependabot version updates, vous devez créer un fichier de configuration dependabot.yml. Pour plus d’informations, consultez « Configuration de mises à jour de version Dependabot ».

Configuration de l’secret scanning

L’Secret scanning est disponible pour tous les dépôts publics, ainsi que pour les packages npm publics. Les organisations qui utilisent GitHub Enterprise Cloud avec Advanced Security peuvent également activer l’secret scanning pour les dépôts privés et internes. Pour plus d’informations, consultez la documentation GitHub Enterprise Cloud.

Vous pouvez activer ou désactiver l’secret scanning pour tous les dépôts publics dans votre organisation.

  1. Cliquez sur votre photo de profil, puis sur Organisations.
  2. Cliquez sur Paramètres en regard de votre organisation.
  3. Cliquez sur Analyse et sécurité du code.
  4. Cliquez sur Tout activer ou Tout désactiver à côté de l’Secret scanning.
  5. Dans la boîte de dialogue affichée, sélectionnez Activer automatiquement pour les nouveaux dépôts publics.
  6. Cliquez sur le bouton Activer ou désactiver dans la boîte de dialogue pour confirmer le changement.

Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre organisation ».

Configuration de l’code scanning

Code scanning est disponible pour tous les référentiels publics. Les organisations qui utilisent GitHub Enterprise Cloud avec Advanced Security peuvent également utiliser l’code scanning pour les référentiels privés et internes.

Vous pouvez activer ou désactiver la configuration par défaut de l’code scanning pour tous les dépôts éligibles qui sont publics dans votre organisation. Pour obtenir des informations sur les dépôts éligibles, consultez Configuration de l’analyse du code à grande échelle avec CodeQL.

Pour les dépôts qui ne sont pas éligibles à la configuration par défaut, vous pouvez définir la configuration avancée au niveau du dépôt. Pour plus d’informations, consultez « Configuration de l’analyse du code pour un référentiel ».

Note: The ability to enable and disable default set up for code scanning for eligible repositories in an organization is currently in beta and subject to change. During the beta release, if you disable CodeQL code scanning for all repositories this change will not be reflected in the coverage information shown in security overview for the organization. The repositories will still appear to have code scanning enabled in this view.

  1. Cliquez sur votre photo de profil, puis sur Organisations.
  2. Cliquez sur Paramètres en regard de votre organisation.
  3. Cliquez sur Analyse et sécurité du code.
  4. Cliquez sur Tout activer ou Tout désactiver à côté de l’Code scanning.
  5. Dans la boîte de dialogue « Activer l’code scanning pour les dépôts éligibles » ou « Désactiver l’code scanning » affichée, cliquez sur Activer pour les dépôts éligibles ou sur Désactiver l’code scanning pour confirmer le changement.

Étapes suivantes

Vous pouvez afficher et gérer les alertes à partir des fonctionnalités de sécurité pour résoudre les dépendances et les vulnérabilités dans votre code. Pour plus d’informations, consultez « Affichage et mise à jour des alertes Dependabot », « Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances », « Gestion des alertes d’analyse du code pour votre référentiel » et « Gestion des alertes à partir de l’analyse des secrets ».

Vous pouvez également superviser les réponses aux alertes de sécurité au sein de votre organisation. Pour plus d’informations, consultez « Audit des alertes de sécurité ».

Si vous avez une vulnérabilité de sécurité, vous pouvez créer un avis de sécurité pour discuter et résoudre en privé la vulnérabilité. Pour plus d’informations, consultez « À propos des avis de sécurité des référentiels » et « Création d’un avis de sécurité de dépôt ».

Organisations qui utilisez GitHub Enterprise Cloud pouvez afficher, filtrer et trier des alertes de sécurité pour des référentiels détenus par their organisation en ce qui concerne la sécurité. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité » dans la documentation GitHub Enterprise Cloud.