Skip to main content

Démarrage rapide pour la sécurisation de votre dépôt

Vous pouvez utiliser un certain nombre de fonctionnalités GitHub pour sécuriser votre référentiel.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de référentiels, propriétaire d’organisations, gestionnaires de sécurité et utilisateurs avec le rôle d’administrateur

Introduction

Ce guide vous montre comment configurer des fonctionnalités de sécurité pour un dépôt. Vous devez être administrateur de dépôt ou propriétaire d'organisation pour configurer les paramètres de sécurité d'un dépôt.

Vos besoins en matière de sécurité étant propres à votre dépôt, il ne vous est peut-être pas nécessaire d'activer chaque fonctionnalité pour celui-ci. Pour plus d'informations, consultez « Fonctionnalités de sécurité de GitHub ».

Certaines fonctionnalités sont disponibles pour les dépôts de tous les plans. Des fonctionnalités supplémentaires sont disponibles pour les entreprises qui utilisent GitHub Advanced Security. Les fonctionnalités GitHub Advanced Security sont aussi activées pour tous les dépôts publics sur GitHub. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Gestion de l'accès à votre dépôt

La première étape de la sécurisation d'un dépôt consiste à choisir qui peut voir et modifier votre code. Pour plus d'informations, consultez « Gestion des paramètres et fonctionnalités de votre dépôt ».

Dans la page principale de votre dépôt, cliquez sur Paramètres, puis faites défiler l'affichage jusqu'à la « Zone de danger ».

Gestion du graphe de dépendances

Le graphe des dépendances est généré automatiquement pour tous les dépôts publics. Vous pouvez choisir de l’activer pour les duplications (forks) et pour les dépôts privés. Le graphe des dépendances interprète les fichiers manifeste et de verrouillage dans un dépôt pour identifier les dépendances.

  1. Dans la page principale de votre dépôt, cliquez sur Paramètres.
  2. Cliquez sur Sécurité et analyse.
  3. En regard du graphe de dépendances, cliquez sur Activer ou Désactiver.

Pour plus d'informations, consultez « Exploration des dépendances d’un dépôt ».

Gestion des Dependabot alerts

Les Dependabot alerts sont générées quand GitHub identifie, dans le graphe de dépendances, une dépendance avec une vulnérabilité. Vous pouvez activer les Dependabot alerts pour n'importe quel dépôt.

En outre, vous pouvez utiliser Règles de triage automatique de Dependabot pour gérer vos alertes à l’échelle, pour pouvoir ignorer automatiquement ou désactiver temporairement les alertes, et spécifier les alertes pour lesquelles vous souhaitez que Dependabot ouvre les demandes de tirage. Pour plus d’informations sur les différents types de règles de triage automatique et pour savoir si vos référentiels sont éligibles, consultez « À propos des règles de triage automatique de Dependabot ».

Pour obtenir une vue d’ensemble des différentes caractéristiques offertes par Dependabot et des instructions de prise en main, consultez « Guide de démarrage rapide Dependabot .»

  1. Cliquez sur votre photo de profil, puis sur Paramètres.
  2. Cliquez sur Sécurité et analyse.
  3. Cliquez sur Activer tout en regard de Dependabot alerts.

Pour plus d'informations, consultez « À propos des alertes Dependabot » et « Gestion des paramètres de sécurité et d’analyse pour votre compte personnel ».

Gestion de la révision des dépendances

La révision des dépendances vous permet de visualiser les modifications de dépendance dans les demandes de tirage (pull request) avant qu'elles ne soient fusionnées dans vos dépôts. Pour plus d'informations, consultez « À propos de la vérification des dépendances ».

La révision des dépendances est une fonctionnalité de GitHub Advanced Security. La révision des dépendances est déjà activée pour tous les dépôts publics. Les organisations qui utilisent GitHub Enterprise Cloud avec Advanced Security peuvent également activer la révision des dépendances pour les dépôts privés et internes. Pour plus d'informations, consultez la documentation GitHub Enterprise Cloud.

Gestion des Dependabot security updates

Pour tout dépôt qui utilise des Dependabot alerts, vous pouvez activer les Dependabot security updates afin de déclencher des demandes de tirage avec des mises à jour de sécurité quand des vulnérabilités sont détectées.

  1. Dans la page principale de votre dépôt, cliquez sur Paramètres.
  2. Cliquez sur Sécurité et analyse.
  3. En regard de Dependabot security updates, cliquez sur Activer.

Pour plus d'informations, consultez « À propos des mises à jour de sécurité Dependabot » et « Configuration des mises à jour de sécurité Dependabot ».

Gestion des Dependabot version updates

Vous pouvez autoriser Dependabot à déclencher automatiquement des demandes de tirage afin de maintenir vos dépendances à jour. Pour plus d'informations, consultez « À propos des mises à jour de version Dependabot ».

  1. Dans la page principale de votre dépôt, cliquez sur Paramètres.
  2. Cliquez sur Sécurité et analyse.
  3. À côté de Dependabot version updates, cliquez sur Activer pour créer un fichier config dependabot.yml.
  4. Spécifiez les dépendances à mettre à jour et toutes les options de configuration associées, puis validez le fichier dans le référentiel. Pour plus d'informations, consultez « Configuration de mises à jour de version Dependabot ».

Configuration de l'code scanning

Note

L'Code scanning est disponible pour tous les dépôts publics et pour les dépôts privés appartenant à des organisations qui font partie d'une entreprise dotée d'une licence GitHub Advanced Security.

Vous pouvez configurer l’code scanning pour identifier automatiquement les vulnérabilités et les erreurs dans le code stocké dans votre dépôt en utilisant un Workflow d’analyse CodeQL ou un outil tiers. Selon les langages de programmation de votre référentiel, vous pouvez configurer code scanning avec CodeQL à l’aide de la configuration par défaut, dans laquelle GitHub détermine automatiquement les langages à analyser, les suites de requêtes à exécuter et les événements qui déclenchent une nouvelle analyse. Pour plus d’informations, consultez « Définition de la configuration par défaut pour l’analyse du code ».

  1. Dans la page principale de votre dépôt, cliquez sur Paramètres.
  2. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.
  3. Dans la section « Code scanning », sélectionnez Configuration , puis cliquez sur Par défaut.
  4. Dans la fenêtre indépendante qui s'affiche, passez en revue les paramètres de configuration par défaut de votre dépôt, puis cliquez sur Activer CodeQL .

Vous pouvez également utiliser la configuration avancée, qui génère un fichier de workflow que vous pouvez modifier pour personnaliser l'code scanning avec CodeQL. Pour plus d’informations, consultez « Configuration de la configuration par défaut pour l’analyse du code ».

Configuration de l'secret scanning

Secret scanning est disponible pour les référentiels suivants :

  • Référentiels publics (gratuit)
  • Référentiels privés et internes dans les organisations utilisant GitHub Enterprise Cloud avec GitHub Advanced Security activé
  1. Dans la page principale de votre dépôt, cliquez sur Paramètres.

  2. Cliquez sur Analyse et sécurité du code.

  3. En regard de Secret scanning, cliquez sur Activer.

Définition d'une stratégie de sécurité

Si vous êtes un mainteneur de dépôt, il est recommandé de spécifier une stratégie de sécurité pour votre dépôt en créant un fichier nommé SECURITY.md dans le dépôt. Ce fichier indique aux utilisateurs comment vous contacter et collaborer avec vous lorsqu'ils souhaitent signaler des vulnérabilités de sécurité dans votre dépôt. Vous pouvez afficher la stratégie de sécurité d'un dépôt dans l'onglet Sécurité du dépôt.

  1. Dans la page principale de votre dépôt, cliquez sur Sécurité.
  2. Cliquez sur Stratégie de sécurité.
  3. Cliquez sur Démarrer la configuration.
  4. Ajoutez des informations sur les versions prises en charge de votre projet et sur la façon de signaler les vulnérabilités.

Pour plus d'informations, consultez « Ajout d’une stratégie de sécurité à votre dépôt ».

Étapes suivantes

Vous pouvez afficher et gérer les alertes à partir des fonctionnalités de sécurité pour résoudre les dépendances et les vulnérabilités dans votre code. Pour plus d’informations, consultez « Affichage et mise à jour des alertes Dependabot », « Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances », « Évaluation des alertes d’analyse du code pour votre référentiel » et « Gestion des alertes à partir de l’analyse des secrets ».

Vous pouvez également utiliser les outils de GitHub pour auditer les réponses aux alertes de sécurité. Pour plus d’informations, consultez « Audit des alertes de sécurité ».

Si vous détectez une faille de sécurité dans un référentiel public, vous pouvez créer un avis de sécurité pour examiner et corriger la faille en privé. Pour plus d’informations, consultez « À propos des avis de sécurité des référentiels » et « Création d’un avis de sécurité de dépôt ».

Si vous utilisez GitHub Actions, vous pouvez utiliser les fonctionnalités de sécurité de GitHub pour augmenter la sécurité de vos flux de travail. Pour plus d’informations, consultez « Utiliser les fonctions de sécurité de GitHub pour sécuriser votre utilisation des actions GitHub ».