Skip to main content

Sécurisation de votre dépôt

Vous pouvez utiliser un certain nombre de fonctionnalités GitHub pour sécuriser votre référentiel.

Who can use this feature

Repository administrators and organization owners can configure repository security settings.

Introduction

Ce guide vous montre comment configurer des fonctionnalités de sécurité pour un dépôt. Vous devez être administrateur de dépôt ou propriétaire d’organisation pour configurer les paramètres de sécurité d’un dépôt.

Vos besoins en matière de sécurité étant propres à votre dépôt, il ne vous est peut-être pas nécessaire d’activer chaque fonctionnalité pour celui-ci. Pour plus d’informations, consultez « Fonctionnalités de sécurité de GitHub ».

Certaines fonctionnalités sont disponibles pour les dépôts de tous les plans. Des fonctionnalités supplémentaires sont disponibles pour les entreprises qui utilisent GitHub Advanced Security. Les fonctionnalités GitHub Advanced Security sont aussi activées pour tous les dépôts publics sur GitHub.com. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Gestion de l’accès à votre dépôt

La première étape de la sécurisation d’un dépôt consiste à choisir qui peut voir et modifier votre code. Pour plus d’informations, consultez « Gestion des paramètres des dépôts ».

Dans la page principale de votre dépôt, cliquez sur Paramètres, puis faites défiler l’affichage jusqu’à la « Zone de danger ».

Gestion du graphe de dépendances

Le graphe de dépendances est généré automatiquement pour tous les dépôts publics, et vous pouvez choisir de l’activer pour les dépôts privés. Il interprète les fichiers manifeste et de verrouillage dans un dépôt pour identifier les dépendances.

  1. Dans la page principale de votre dépôt, cliquez sur Paramètres.
  2. Cliquez sur Sécurité et analyse.
  3. En regard du graphe de dépendances, cliquez sur Activer ou Désactiver.

Pour plus d’informations, consultez « Exploration des dépendances d’un dépôt ».

Gestion des Dependabot alerts

Les Dependabot alerts sont générées quand GitHub identifie, dans le graphe de dépendances, une dépendance avec une vulnérabilité. Vous pouvez activer les Dependabot alerts pour n’importe quel dépôt.

  1. Cliquez sur votre photo de profil, puis sur Paramètres.
  2. Cliquez sur Sécurité et analyse.
  3. Cliquez sur Activer tout en regard de Dependabot alerts.

Pour plus d’informations, consultez « À propos des Dependabot alerts » et « Gestion des paramètres de sécurité et d’analyse pour votre compte personnel ».

Gestion de la révision des dépendances

La révision des dépendances vous permet de visualiser les modifications de dépendance dans les demandes de tirage (pull request) avant qu’elles ne soient fusionnées dans vos dépôts. Pour plus d’informations, consultez « À propos de la révision des dépendances ».

La révision des dépendances est une fonctionnalité de GitHub Advanced Security. La révision des dépendances est déjà activée pour tous les dépôts publics. Les organisations qui utilisent GitHub Enterprise Cloud avec Advanced Security peuvent également activer la révision des dépendances pour les dépôts privés et internes. Pour plus d’informations, consultez la documentation GitHub Enterprise Cloud.

Gestion des Dependabot security updates

Pour tout dépôt qui utilise des Dependabot alerts, vous pouvez activer les Dependabot security updates afin de déclencher des demandes de tirage avec des mises à jour de sécurité quand des vulnérabilités sont détectées.

  1. Dans la page principale de votre dépôt, cliquez sur Paramètres.
  2. Cliquez sur Sécurité et analyse.
  3. En regard de Dependabot security updates, cliquez sur Activer.

Pour plus d’informations, consultez « À propos des Dependabot security updates » et « Configuration des Dependabot security updates ».

Gestion des Dependabot version updates

Vous pouvez autoriser Dependabot à déclencher automatiquement des demandes de tirage afin de maintenir vos dépendances à jour. Pour plus d’informations, consultez « À propos des Dependabot version updates ».

  1. Dans la page principale de votre dépôt, cliquez sur Paramètres.
  2. Cliquez sur Sécurité et analyse.
  3. À côté de Dependabot version updates, cliquez sur Activer pour créer un fichier config dependabot.yml.
  4. Spécifiez les dépendances à mettre à jour et valider le fichier dans le référentiel. Pour plus d’informations, consultez « Configuration des mises à jour de version Dependabot ».

Configuration de l’code scanning

Vous pouvez configurer l’code scanning pour identifier automatiquement les vulnérabilités et les erreurs dans le code stocké dans votre dépôt à l’aide d’un CodeQL analysis workflow ou d’un outil tiers. Selon les langages de programmation de votre dépôt, vous pouvez configurer l’code scanning avec CodeQL en utilisant la configuration par défaut, dans laquelle GitHub détermine automatiquement les langages à analyser, les suites de requêtes à exécuter et les événements qui déclenchent une nouvelle analyse.

  1. Dans la page principale de votre dépôt, cliquez sur Paramètres.
  2. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.
  3. Dans la section « Code scanning », sélectionnez Configuration , puis cliquez sur Par défaut.
  4. Dans la fenêtre indépendante qui s’affiche, passez en revue les paramètres de configuration par défaut de votre dépôt, puis cliquez sur Activer CodeQL .

Vous pouvez également utiliser la configuration avancée, qui génère un fichier de workflow que vous pouvez modifier pour personnaliser l’code scanning avec CodeQL. Pour plus d’informations, consultez « Configuration de code scanning pour un référentiel ».

L’Code scanning est disponible pour tous les dépôts publics et pour les dépôts privés appartenant à des organisations qui font partie d’une entreprise dotée d’une licence pour GitHub Advanced Security.

Configuration de l’secret scanning

Les Secret scanning alerts for partners s’exécutent automatiquement sur les dépôts publics dans tous les produits de GitHub.com. Les Secret scanning alerts for users sont disponibles pour les dépôts publics ainsi que pour les dépôts appartenant à des organisations qui utilisent GitHub Enterprise Cloud et disposent d’une licence pour GitHub Advanced Security. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Définition d’une stratégie de sécurité

Si vous êtes un mainteneur de dépôt, il est recommandé de spécifier une stratégie de sécurité pour votre dépôt en créant un fichier nommé SECURITY.md dans le dépôt. Ce fichier indique aux utilisateurs comment vous contacter et collaborer avec vous lorsqu’ils souhaitent signaler des vulnérabilités de sécurité dans votre dépôt. Vous pouvez afficher la stratégie de sécurité d’un dépôt dans l’onglet Sécurité du dépôt.

  1. Dans la page principale de votre dépôt, cliquez sur Sécurité.
  2. Cliquez sur Stratégie de sécurité.
  3. Cliquez sur Démarrer la configuration.
  4. Ajoutez des informations sur les versions prises en charge de votre projet et sur la façon de signaler les vulnérabilités.

Pour plus d’informations, consultez « Ajout d’une stratégie de sécurité à votre dépôt ».

Étapes suivantes

Vous pouvez afficher et gérer les alertes à partir des fonctionnalités de sécurité pour résoudre les dépendances et les vulnérabilités dans votre code. Pour plus d’informations, consultez « Consultation et mise à jour des Dependabot alerts »,  »Gestion des demandes de tirage pour les mises à jour des dépendances », « Gestion de l’code scanning pour votre dépôt » et « Gestion des alertes de l’secret scanning ».

Si vous avez une vulnérabilité de sécurité, vous pouvez créer un avis de sécurité pour discuter et résoudre en privé la vulnérabilité. Pour plus d’informations, consultez « À propos des avis de sécurité de dépôt » et « Création d’un avis de sécurité ».