Code security guides
Découvrez les différentes façons dont GitHub peut vous aider à améliorer la sécurité de votre code.
Corriger et divulguer une vulnérabilité de sécurité
Utilisation des avis de sécurité de référentiel pour corriger en privé une vulnérabilité signalée et obtenir une CVE.Start learning path- 1Overview
À propos de la divulgation coordonnée des vulnérabilités de sécurité
La divulgation des vulnérabilités est un effort coordonné entre les rapporteurs de sécurité et les personnes chargées de la maintenance des dépôts. - 2Overview
À propos de la base de données GitHub Advisory
La GitHub Advisory Database contient une liste de vulnérabilités de sécurité et de programmes malveillants connus, regroupés en deux catégories : avis révisés par GitHub et avis non révisés. - 3Overview
À propos des avis de sécurité globaux
Les conseils sécurité globale résident dans le GitHub Advisory Database, une collection de CVE et d’avis GitHub affectant le monde open source. Vous pouvez contribuer à améliorer les avis de sécurité globaux. - 4Overview
À propos des avis de sécurité des référentiels
Vous pouvez utiliser des avis de sécurité des référentiels pour discuter des vulnérabilités de sécurité dans votre référentiel, les corriger et publier des informations en privé. - 5How-to guide
Meilleures pratiques pour l’écriture des avis de sécurité de référentiels
Quand vous créez ou modifiez des avis de sécurité, les informations fournies sont mieux compréhensibles pour les autres utilisateurs si vous spécifiez l’écosystème, le nom du package et les versions affectées en utilisant les formats standard. - 6How-to guide
Signalement privé d’une vulnérabilité de sécurité
Certains dépôts publics configurent des avis de sécurité afin que tout le monde puisse signaler les failles de sécurité directement et en privé aux chargés de maintenance. - 7How-to guide
Gestion des vulnérabilités de sécurité signalées en privé
Les chargés de maintenance de dépôt peuvent gérer les vulnérabilités de sécurité qui leur ont été signalées en privé par des chercheurs en sécurité pour les dépôts où la création de rapports de vulnérabilités privés est activée. - 8How-to guide
Configuration de rapports de vulnérabilité privés pour un dépôt
Les propriétaires et administrateurs de dépôts publics peuvent permettre aux chercheurs en sécurité de signaler des vulnérabilités de façon sécurisée dans le dépôt en activant les rapports de vulnérabilité privés. - 9How-to guide
Création d’un avis de sécurité de dépôt
Vous pouvez créer un brouillon d’avis de sécurité pour discuter en privé et corriger une vulnérabilité de sécurité dans votre projet open source. - 10How-to guide
Ajout d’un collaborateur à un avis de sécurité de dépôt
Vous pouvez ajouter d’autres utilisateurs ou équipes pour collaborer sur un avis de sécurité avec vous. - 11How-to guide
Collaboration dans une duplication (fork) privée temporaire pour résoudre une vulnérabilité de sécurité de dépôt
Vous pouvez créer une duplication (fork) privée temporaire pour collaborer en privé pour résoudre une vulnérabilité de sécurité dans votre dépôt. - 12How-to guide
Publication d’un avis de sécurité de dépôt
Vous pouvez publier un avis de sécurité pour alerter votre communauté sur une vulnérabilité de sécurité dans votre projet. - 13How-to guide
Modification d’un avis de sécurité de dépôt
Vous pouvez modifier les métadonnées et la description d’un avis de sécurité de dépôt si vous devez mettre à jour les détails ou corriger les erreurs. - 14How-to guide
Retrait d’un avis de sécurité de dépôt
Vous pouvez retirer un avis de sécurité de dépôt que vous avez publié. - 15How-to guide
Suppression d’un collaborateur d’un avis de sécurité de dépôt
Lorsque vous supprimez un collaborateur d’un avis de sécurité de dépôt, il perd l’accès en lecture et écriture à la discussion et aux métadonnées de l’avis de sécurité.
Code security learning paths
Obtenir des notifications pour les dépendances non sécurisées
Configurez Dependabot pour qu’il vous alerte des nouvelles vulnérabilités ou des programmes malveillants dans vos dépendances.
Obtenir des demandes de tirage pour mettre à jour vos dépendances vulnérables
Configurez Dependabot pour créer des demandes de tirage lorsque de nouvelles vulnérabilités sont signalées.
Maintenir vos dépendances à jour
Utilisez Dependabot pour rechercher de nouvelles versions et créer des demandes de tirage pour mettre à jour vos dépendances.
Rechercher des secrets
Configurez l’analyse des secrets pour vous protéger contre les archivages accidentels de jetons, de mots de passe et d’autres secrets dans votre référentiel.
Exécuter l’analyse du code avec GitHub Actions
Vérifiez votre branche par défaut et chaque demande de tirage pour maintenir les vulnérabilités et erreurs hors de votre référentiel.
Exécuter l’analyse du code CodeQL dans votre CI
Configurez CodeQL dans votre CI existant et chargez les résultats dans l’analyse du code GitHub.
Intégrer à l’analyse du code
Chargez les résultats de l’analyse du code à partir de systèmes tiers pour GitHub à l’aide de SARIF.
Chaîne d’approvisionnement de bout en bout
Comment envisager la sécurisation de vos comptes d’utilisateur, de votre code et de votre processus de génération.
All Code security guides
Ajout d’une stratégie de sécurité à votre dépôt
How-to guideVous pouvez fournir des instructions pour la façon de signaler une vulnérabilité de sécurité dans votre projet en ajoutant une stratégie de sécurité à votre dépôt.
- Security policies
- Vulnerabilities
- Repositories
- Health
Fonctionnalités de sécurité de GitHub
OverviewVue d’ensemble des fonctionnalités de sécurité de GitHub.
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
Sécurisation de votre organisation
How-to guideVous pouvez utiliser un certain nombre de fonctionnalités GitHub pour sécuriser votre organisation.
- Organizations
- Dependencies
- Vulnerabilities
- Advanced Security
Sécurisation de votre dépôt
How-to guideVous pouvez utiliser un certain nombre de fonctionnalités GitHub pour sécuriser votre référentiel.
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
À propos de l’analyse des secrets
OverviewGitHub analyse les types de secrets connus dans les dépôts pour éviter une utilisation frauduleuse des secrets validés accidentellement.
- Secret scanning
- Advanced Security
Configuration de l’analyse des secrets pour vos dépôts
How-to guideVous pouvez configurer la façon dont GitHub recherche dans vos dépôts des secrets divulgués et génère des alertes.
- Secret scanning
- Advanced Security
- Repositories
Définition de modèles personnalisés pour l’analyse des secrets
How-to guideVous pouvez étendre l’secret scanning pour détecter les secrets au-delà des modèles par défaut.
- Advanced Security
- Secret scanning
Gestion des alertes à partir de l’analyse des secrets
How-to guideVous pouvez afficher et fermer les alertes pour les secrets archivés dans votre référentiel.
- Secret scanning
- Advanced Security
- Alerts
- Repositories
Protection des poussées (push) avec l’analyse des secrets
How-to guideVous pouvez utiliser l’secret scanning pour empêcher les secrets pris en charge d’être poussés dans votre organisation ou dépôt en activant la protection des poussées.
- Secret scanning
- Advanced Security
- Alerts
- Repositories