Démarrage rapide pour la sécurisation de votre organisation

Vous pouvez utiliser un certain nombre de fonctionnalités GitHub pour sécuriser votre organisation.

Qui peut utiliser cette fonctionnalité ?

Organization owners and security managers can manage security features for an organization.

Dans cet article

Introduction

En tant que propriétaire d'une organisation ou gestionnaire de la sécurité, vous pouvez utiliser les fonctionnalités de sécurité de GitHub pour sécuriser le code, les dépendances et les secrets de votre organisation. Pour plus d’informations, consultez « Fonctionnalités de sécurité de GitHub ».

Les besoins de votre organisation en matière de sécurité sont uniques. Vous pouvez activer une fonctionnalité si votre organisation a été affectée par une vulnérabilité qu’une certaine fonctionnalité aurait empêchée ou si la fonctionnalité aide votre organisation à répondre à une exigence de conformité.

Vous pouvez activer des fonctionnalités de sécurité sur plusieurs référentiels d’une organisation en même temps. Pour chaque fonctionnalité que vous souhaitez activer, vous devez décider comment déployer la fonctionnalité dans les référentiels de votre organisation. Les différentes fonctionnalités ont des effets différents sur votre organisation et ses contributeurs. Il est donc important d’évaluer l’impact de chaque fonctionnalité. Par exemple :

  • Certaines fonctionnalités peuvent générer des notifications pour informer les membres de votre organisation sur des vulnérabilités spécifiques : pour vous assurer que ces notifications sont ciblées et pertinentes, vous pouvez demander aux membres de vérifier leurs paramètres de notification avant l’activation d’une fonctionnalité. Pour plus d’informations, consultez « Configuration des notifications ».
  • Certaines fonctionnalités peuvent consommer des ressources pour chaque référentiel dans lequel elles sont activées. Par exemple, l’activation de code scanning dans un référentiel privé peut consommer une licence GitHub Advanced Security et l’exécution de l’analyse code scanning dans un référentiel entraîne l’utilisation de GitHub Actions ou d’un autre système CI.

En tant que propriétaire d'une organisation, vous pouvez accorder à certains utilisateurs l’autorisation d’activer ou de désactiver les fonctionnalités de sécurité en attribuant le rôle « gestionnaire de la sécurité » à une équipe. Les responsables de la sécurité peuvent configurer les paramètres de sécurité et analyser l’utilisation des fonctionnalités de sécurité dans votre organisation. Pour plus d’informations, consultez « Gestion des gestionnaires de sécurité dans votre organisation ».

À propos des composants requis des fonctionnalités

Certaines fonctionnalités de sécurité ont des composants requis. Par exemple, Dependabot alerts utilisent les informations du graphe des dépendances. Par conséquent, l’activation de Dependabot alerts active automatiquement le graphe des dépendances.

Certaines fonctionnalités sont activées par défaut dans les référentiels publics. Dans les référentiels privés, certaines fonctionnalités sont uniquement disponibles pour les entreprises qui utilisent GitHub Advanced Security et qui ont activé Advanced Security comme fonctionnalité pour les référentiels. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Vous devez configurer certaines fonctionnalités pour chaque référentiel individuellement. Par exemple, pour activer Dependabot version updates dans un référentiel, vous devez ajouter un fichier dependabot.yml spécifiant où trouver des informations sur les dépendances du projet. Pour plus d’informations, consultez « Configuration de mises à jour de version Dependabot ».

Activation des fonctionnalités de sécurité dans votre organisation

Lorsque vous avez décidé d’activer une fonctionnalité de sécurité, l’étape suivante consiste à décider comment déployer cette fonctionnalité dans votre organisation.

  • Si vous souhaitez activer plusieurs fonctionnalités de sécurité à grande échelle, vous pouvez utiliser le GitHub-recommended security configuration, une collection de paramètres d’activation de sécurité que vous pouvez appliquer aux dépôts de votre organisation. Consultez « À propos de l'activation des fonctionnalités de sécurité à grande échelle ».

    Remarque : Security configurations et global settings sont actuellement en version bêta et susceptibles d’être modifiés.

  • Si vous souhaitez déployer une caractéristique unique le plus rapidement possible, vous pouvez l'activer pour tous les dépôts éligibles en une seule fois. Pour plus d’informations, consultez « Activation d’une fonctionnalité pour tous les référentiels ».

  • Si vous souhaitez contrôler la rapidité à laquelle vous déployez une fonctionnalité et les fonctionnalités activées dans quels référentiels, vous pouvez activer une fonctionnalité pour une sélection de référentiels. Pour plus d’informations, consultez « Activation d’une fonctionnalité pour une sélection de référentiels ».

Une fois que vous avez décidé d’activer une fonctionnalité pour les référentiels existants de votre organisation, vous devez également décider comment gérer les nouveaux référentiels créés dans votre organisation à l’avenir. Pour plus d’informations, consultez « Activation d’une fonctionnalité pour de nouveaux référentiels ».

Activation d’une fonctionnalité pour tous les référentiels

Le moyen le plus rapide de déployer une fonctionnalité de sécurité consiste à l’activer pour tous les référentiels de votre organisation à la fois. Si vous avez identifié un besoin critique pour une fonctionnalité, son activation pour tous les référentiels vous offre une protection sur l’ensemble de votre organisation, sans vous obliger à suspendre pour concevoir un plan de déploiement.

Avant d’activer une fonctionnalité pour tous les référentiels, vous devez tenir compte de l’impact de cette action. Si vous n’êtes pas certain des effets d’une fonctionnalité, il est plus sûr de commencer par activer la fonctionnalité pour une sélection limitée de référentiels. L’activation d’une fonctionnalité pour tous les référentiels en même temps est probablement une option appropriée dans les situations suivantes.

  • Vous disposez d’une vue d’ensemble de tous les référentiels de votre organisation et vous êtes sûr qu’ils bénéficieront tous d’une fonctionnalité spécifique.
  • Si une fonctionnalité nécessite des ressources telles que des licences GitHub Advanced Security ou GitHub Actions minutes, vous avez évalué les ressources qui seront nécessaires et vous êtes heureux de continuer.
  • Si la fonctionnalité génère des notifications ou des demandes de tirage, vous êtes sûr que celles-ci seront ciblées et pertinentes pour les membres qui les reçoivent ou qui doivent les examiner.

Lorsque vous êtes prêt à continuer, suivez ces étapes pour activer une fonctionnalité pour tous les référentiels.

  1. Sur GitHub.com, accédez à la page principale de l’organisation.

  2. Sous le nom de votre organisation, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran des onglets dans le profil d’une organisation. L’onglet « Paramètres » est présenté en orange foncé.

  3. Dans la barre latérale de gauche, cliquez sur Sécurité et analyse du code.

  4. Localisez la fonctionnalité que vous souhaitez activer et utilisez les cases à cocher associées pour affiner les options.

  5. Lorsque vous êtes prêt à activer la fonctionnalité dans tous les référentiels de votre organisation où la fonctionnalité est prise en charge, en regard du nom de la fonctionnalité, cliquez sur Activer tout.

Lorsque vous cliquez sur Activer tout, vous êtes invité à confirmer votre choix. Vous serez également informé si la fonctionnalité dépend d’une autre fonctionnalité ou nécessite GitHub Advanced Security. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d'analyse pour votre organisation ».

Activation d’une fonctionnalité pour une sélection de référentiels

Dans certains cas, il est préférable d’identifier une sélection de référentiels qui nécessitent une fonctionnalité, puis d’activer la fonctionnalité uniquement pour ces référentiels.

Si vous n’êtes pas sûr de l’impact d’une fonctionnalité, vous pouvez tester la fonctionnalité sur une sélection limitée de référentiels avant de valider l’activation de la fonctionnalité pour tous les référentiels ou vous pouvez déployer la fonctionnalité progressivement sur plusieurs phases. Vous savez peut-être également que certains référentiels de votre organisation nécessitent un ensemble de fonctionnalités différent des autres.

Une fois que vous avez identifié les référentiels qui nécessitent une fonctionnalité, vous pouvez activer la fonctionnalité pour chaque référentiel individuellement. En tant que propriétaire d'une organisation ou gestionnaire de la sécurité, vous pouvez configurer les paramètres de sécurité de chaque référentiel de votre organisation. Pour plus d’informations, consultez « Démarrage rapide pour la sécurisation de votre dépôt ».

Pour les organisations sur GitHub Enterprise Cloud, vous pouvez utiliser l’affichage « Couverture de sécurité » pour identifier les référentiels qui nécessitent une fonctionnalité, puis activer cette fonctionnalité pour ces référentiels. Pour plus d’informations, consultez « Activation des fonctionnalités de sécurité pour plusieurs dépôts » dans la documentation GitHub Enterprise Cloud.

Activation d’une fonctionnalité pour de nouveaux référentiels

Vous pouvez choisir d’activer automatiquement une fonctionnalité de sécurité dans tous les nouveaux référentiels créés dans votre organisation. L’activation des fonctionnalités dans de nouveaux référentiels garantit leur protection immédiate et garantit que les vulnérabilités dans les référentiels sont identifiées le plus tôt possible. Toutefois, pour utiliser les fonctionnalités de sécurité aussi efficacement que possible, vous pouvez préférer examiner chaque nouveau référentiel individuellement.

  1. Sur GitHub.com, accédez à la page principale de l’organisation.

  2. Sous le nom de votre organisation, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran des onglets dans le profil d’une organisation. L’onglet « Paramètres » est présenté en orange foncé.

  3. Dans la barre latérale de gauche, cliquez sur Sécurité et analyse du code.

  4. Sous le nom de la fonctionnalité, sélectionnez l’option permettant d’activer automatiquement la fonctionnalité dans les référentiels futurs applicables.

    Capture d’écran de la page « Sécurité et analyse du code ». Sous « Alertes Dependabot », une case à cocher permettant d’activer la fonctionnalité dans les futurs référentiels est mise en surbrillance avec un contour orange.

Analyse de l’impact des fonctionnalités de sécurité

Lorsque vous avez activé une fonctionnalité, vous devez communiquer avec les administrateurs de référentiels et les contributeurs de votre organisation pour évaluer l’impact de la fonctionnalité. Vous devrez peut-être ajuster la configuration de certaines fonctionnalités au niveau du référentiel ou réévaluer la distribution des fonctionnalités de sécurité dans votre organisation. Vous devez également analyser les alertes de sécurité générées par une fonctionnalité et les réponses de vos membres à ces alertes.

Les organisations qui utilisent GitHub Enterprise Cloud peuvent utiliser une vue d'ensemble de la sécurité pour voir quelles équipes et dépôts sont affectés par les alertes de sécurité, avec une décomposition des alertes par gravité. Pour plus d'informations, consultez « Évaluation des risques liés à la sécurité de votre code » dans la documentation GitHub Enterprise Cloud.

Vous pouvez utiliser différents outils pour analyser les actions que les membres de votre organisation effectuent en réponse aux alertes de sécurité. Pour plus d’informations, consultez « Audit des alertes de sécurité ».

Étapes suivantes

Pour aider les utilisateurs à signaler des failles de sécurité, vous pouvez créer une stratégie de sécurité par défaut qui s’affichera dans les dépôts publics de votre organisation qui n’ont pas leur propre stratégie de sécurité. Pour plus d’informations, consultez « Création d’un fichier d’intégrité de la communauté par défaut ».

Si vous utilisez GitHub Actions, vous pouvez utiliser les fonctionnalités de sécurité de GitHub pour augmenter la sécurité de vos flux de travail. Pour plus d’informations, consultez « Utiliser les fonctions de sécurité de GitHub pour sécuriser votre utilisation des actions GitHub ».