Guides de sécurité du code
Découvrez les différentes façons dont GitHub peut vous aider à améliorer la sécurité de votre code.
Corriger et divulguer une vulnérabilité de sécurité
Utilisation des avis de sécurité de référentiel pour corriger en privé une vulnérabilité signalée et obtenir une CVE.Commencer le parcours d’apprentissage- 1Vue d’ensemble
À propos de la divulgation coordonnée des vulnérabilités de sécurité
La divulgation des vulnérabilités est un effort coordonné entre les rapporteurs de sécurité et les personnes chargées de la maintenance des dépôts. - 2Vue d’ensemble
À propos de la base de données GitHub Advisory
La GitHub Advisory Database contient une liste de vulnérabilités de sécurité et de programmes malveillants connus, regroupés en deux catégories : avis révisés par GitHub et avis non révisés. - 3Vue d’ensemble
À propos des avis de sécurité globaux
Les conseils sécurité globale résident dans le GitHub Advisory Database, une collection de CVE et d’avis GitHub affectant le monde open source. Vous pouvez contribuer à améliorer les avis de sécurité globaux. - 4Vue d’ensemble
À propos des avis de sécurité des référentiels
Vous pouvez utiliser des avis de sécurité des référentiels pour discuter des vulnérabilités de sécurité dans votre référentiel, les corriger et publier des informations en privé. - 5Guide pratique
Meilleures pratiques pour l’écriture des avis de sécurité de référentiels
Quand vous créez ou modifiez des avis de sécurité, les informations fournies sont mieux compréhensibles pour les autres utilisateurs si vous spécifiez l’écosystème, le nom du package et les versions affectées en utilisant les formats standard. - 6Guide pratique
Signalement privé d’une vulnérabilité de sécurité
Certains dépôts publics configurent des avis de sécurité afin que tout le monde puisse signaler les failles de sécurité directement et en privé aux chargés de maintenance. - 7Guide pratique
Gestion des vulnérabilités de sécurité signalées en privé
Les chargés de maintenance de dépôt peuvent gérer les vulnérabilités de sécurité qui leur ont été signalées en privé par des chercheurs en sécurité pour les dépôts où la création de rapports de vulnérabilités privés est activée. - 8Guide pratique
Configuration de rapports de vulnérabilité privés pour un dépôt
Les propriétaires et administrateurs de dépôts publics peuvent permettre aux chercheurs en sécurité de signaler des vulnérabilités de façon sécurisée dans le dépôt en activant les rapports de vulnérabilité privés. - 9Guide pratique
Configuration de rapports de vulnérabilité privés pour une organisation
Les propriétaires d’organisation et les responsables de la sécurité peuvent permettre aux chercheurs en sécurité de signaler des vulnérabilités de façon sécurisée dans les dépôts au sein de l’organisation en activant les rapports de vulnérabilité privés pour tous les dépôts publics. - 10Guide pratique
Création d’un avis de sécurité de dépôt
Vous pouvez créer un brouillon d’avis de sécurité pour discuter en privé et corriger une vulnérabilité de sécurité dans votre projet open source. - 11Guide pratique
Ajout d’un collaborateur à un avis de sécurité de dépôt
Vous pouvez ajouter d’autres utilisateurs ou équipes pour collaborer sur un avis de sécurité avec vous. - 12Guide pratique
Collaboration dans une duplication (fork) privée temporaire pour résoudre une vulnérabilité de sécurité de dépôt
Vous pouvez créer une duplication (fork) privée temporaire pour collaborer en privé pour résoudre une vulnérabilité de sécurité dans votre dépôt. - 13Guide pratique
Publication d’un avis de sécurité de dépôt
Vous pouvez publier un avis de sécurité pour alerter votre communauté sur une vulnérabilité de sécurité dans votre projet. - 14Guide pratique
Modification d’un avis de sécurité de dépôt
Vous pouvez modifier les métadonnées et la description d’un avis de sécurité de dépôt si vous devez mettre à jour les détails ou corriger les erreurs. - 15Guide pratique
Retrait d’un avis de sécurité de dépôt
Vous pouvez retirer un avis de sécurité de dépôt que vous avez publié. - 16Guide pratique
Suppression d’un collaborateur d’un avis de sécurité de dépôt
Lorsque vous supprimez un collaborateur d’un avis de sécurité de dépôt, il perd l’accès en lecture et écriture à la discussion et aux métadonnées de l’avis de sécurité.
Parcours d’apprentissage Code security
Obtenir des notifications pour les dépendances non sécurisées
Configurez Dependabot pour qu’il vous alerte des nouvelles vulnérabilités ou des programmes malveillants dans vos dépendances.
Obtenir des demandes de tirage pour mettre à jour vos dépendances vulnérables
Configurez Dependabot pour créer des demandes de tirage lorsque de nouvelles vulnérabilités sont signalées.
Maintenir vos dépendances à jour
Utilisez Dependabot pour rechercher de nouvelles versions et créer des demandes de tirage pour mettre à jour vos dépendances.
Rechercher des secrets
Configurez l’analyse des secrets pour vous protéger contre les archivages accidentels de jetons, de mots de passe et d’autres secrets dans votre référentiel.
Exécuter l’analyse du code avec GitHub Actions
Vérifiez votre branche par défaut et chaque demande de tirage pour maintenir les vulnérabilités et erreurs hors de votre référentiel.
Exécuter l’analyse du code CodeQL dans votre CI
Configurez CodeQL dans votre CI existant et chargez les résultats dans l’analyse du code GitHub.
Intégrer à l’analyse du code
Chargez les résultats de l’analyse du code à partir de systèmes tiers pour GitHub à l’aide de SARIF.
Chaîne d’approvisionnement de bout en bout
Comment envisager la sécurisation de vos comptes d’utilisateur, de votre code et de votre processus de génération.
Tous les guides Code security
Ajout d’une stratégie de sécurité à votre dépôt
Guide pratiqueVous pouvez fournir des instructions pour la façon de signaler une vulnérabilité de sécurité dans votre projet en ajoutant une stratégie de sécurité à votre dépôt.
- Security policies
- Vulnerabilities
- Repositories
- Health
Fonctionnalités de sécurité de GitHub
Vue d’ensembleVue d’ensemble des fonctionnalités de sécurité de GitHub.
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
Sécurisation de votre organisation
Guide pratiqueVous pouvez utiliser un certain nombre de fonctionnalités GitHub pour sécuriser votre organisation.
- Organizations
- Dependencies
- Vulnerabilities
- Advanced Security
Sécurisation de votre dépôt
Guide pratiqueVous pouvez utiliser un certain nombre de fonctionnalités GitHub pour sécuriser votre référentiel.
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
Audit des alertes de sécurité
Vue d’ensembleGitHub fournit une variété d’outils que vous pouvez utiliser pour auditer et analyser les actions entreprises en réponse aux alertes de sécurité.
- Repositories
- Dependencies
- Vulnerabilities
- Security
- Advanced Security
À propos de l’analyse des secrets
Vue d’ensembleGitHub analyse les types de secrets connus dans les dépôts pour éviter une utilisation frauduleuse des secrets validés accidentellement.
- Secret scanning
- Advanced Security
Configuration de l’analyse des secrets pour vos dépôts
Guide pratiqueVous pouvez configurer la façon dont GitHub recherche dans vos dépôts des secrets divulgués et génère des alertes.
- Secret scanning
- Advanced Security
- Repositories
Définition de modèles personnalisés pour l’analyse des secrets
Guide pratiqueVous pouvez étendre l’secret scanning pour détecter les secrets au-delà des modèles par défaut.
- Advanced Security
- Secret scanning
Gestion des alertes à partir de l’analyse des secrets
Guide pratiqueVous pouvez afficher et fermer les alertes pour les secrets archivés dans votre référentiel.
- Secret scanning
- Advanced Security
- Alerts
- Repositories