Configuration des paramètres de sécurité globaux pour votre organisation

Personnalisez les fonctionnalités GitHub Advanced Security et créez des gestionnaires de sécurité pour renforcer la sécurité de votre organisation.

Qui peut utiliser cette fonctionnalité ?

Les propriétaires d’organisation et les responsables de sécurité peuvent gérer les security configurations et les global settings d’une organisation.

Dans cet article

Remarque : Security configurations et global settings sont actuellement en version bêta et susceptibles d’être modifiés. Pour fournir des retours d’expérience sur ces fonctionnalités, consultez la discussion sur les retours d’expérience.

Pour savoir comment désactiver les security configurations et les global settings, consultez « Exploration des versions d’accès anticipé avec préversion des fonctionnalités ».

À propos de global settings

Outre security configurations, qui déterminent les paramètres de sécurité au niveau du référentiel, vous devez également configurer global settings pour votre organisation. Global settings s’appliquent à l’ensemble de votre organisation et peuvent personnaliser les fonctionnalités de GitHub Advanced Security en fonction de vos besoins. Vous pouvez également créer des gestionnaires de sécurité sur la page global settings pour surveiller et gérer la sécurité de votre organisation.

Accès à la page global settings de votre organisation

  1. Dans l’angle supérieur droit de GitHub.com, sélectionnez votre photo de profil, puis sur Vos organisations.

    Capture d’écran du menu déroulant sous l’image de profil de @octocat. « Vos organisations » est présenté en orange foncé.

  2. Sous le nom de votre organisation, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran des onglets dans le profil d’une organisation. L’onglet « Paramètres » est présenté en orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, sélectionnez le menu déroulant Sécurité du code, puis cliquez sur Global settings.

Configuration des paramètres globaux Dependabot

Dependabot se compose de trois fonctionnalités différentes qui vous aident à gérer vos dépendances :

  • Dependabot alerts : vous informent des vulnérabilités dans les dépendances que vous utilisez dans votre dépôt.
  • Dependabot security updates : déclenchent automatiquement des demandes de tirage (pull request) pour mettre à jour les dépendances que vous utilisez et qui présentent des vulnérabilités de sécurité connues.
  • Dependabot version updates : déclenchent automatiquement des demandes de tirage afin de maintenir vos dépendances à jour.

Vous pouvez personnaliser plusieurs global settings pour Dependabot :

Création et gestion de Règles de triage automatique de Dependabot

Vous pouvez créer et gérer Règles de triage automatique de Dependabot pour indiquer à Dependabot d’ignorer automatiquement ou de désactiver temporairement Dependabot alerts, et même d’ouvrir des demandes de tirage pour tenter de les résoudre. Pour configurer Règles de triage automatique de Dependabot, cliquez sur , puis créez ou modifiez une règle :

  • Vous pouvez créer une règle en cliquant sur Nouvelle règle, puis en entrant les détails de votre règle et en cliquant sur Créer une règle.
  • Vous pouvez modifier une règle existante en cliquant sur , puis en effectuant les modifications souhaitées et en cliquant sur Enregistrer la règle.

Pour plus d’informations sur Règles de triage automatique de Dependabot, consultez « À propos des règles de triage automatique de Dependabot » et « Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité ».

Groupement de Dependabot security updates

Dependabot peut regrouper toutes les mises à jour de sécurité suggérées automatiquement dans une seule demande de tirage pour réduire le bruit. Pour activer les mises à jour de sécurité groupées, sélectionnez Mises à jour de sécurité groupées. Pour plus d’informations sur les mises à jour groupées et les options de personnalisation, consultez « Configuration des mises à jour de sécurité Dependabot ».

Activation de Dependabot sur les éxécuteurs hébergés par GitHub

Vous pouvez autoriser Dependabot à utiliser des éxécuteurs hébergés par GitHub et l’action Dependabot pour effectuer des mises à jour des dépendances. Pour activer Dependabot pour les éxécuteurs hébergés par GitHub sur tous les dépôts de votre organisation, cliquez sur Activer tout. Pour activer Dependabot pour les éxécuteurs hébergés par GitHub sur tous les nouveaux dépôts de votre organisation, sélectionnez Activer automatiquement pour les nouveaux dépôts. Pour plus d’informations, consultez « À propos de Dependabot sur les exécuteurs GitHub Actions ».

Accorder à Dependabot l'accès aux dépôts privés

Pour mettre à jour les dépendances privées des référentiels de votre organisation, Dependabot a besoin d’accéder à ces référentiels. Pour accorder à Dependabot l’accès au dépôt privé souhaité, faites défiler vers le bas jusqu’à la section « Accorder à Dependabot l’accès aux référentiels privés », puis utilisez la barre de recherche pour rechercher et sélectionner le dépôt souhaité. N’oubliez pas que l’octroi de Dependabot à un dépôt signifie que tous les utilisateurs de votre organisation auront accès au contenu de ce référentiel via Dependabot updates. Pour plus d'informations sur les écosystèmes pris en charge pour les dépôts privés, consultez « À propos des mises à jour de version Dependabot ».

Configuration des paramètres globaux code scanning

Code scanning es une fonctionnalité que vous utilisez pour analyser le code dans un dépôt GitHub afin de détecter d’éventuelles vulnérabilités de sécurité et erreurs de codage. Tous les problèmes identifiés par l’analyse sont énumérés dans votre référentiel.

Vous pouvez personnaliser plusieurs global settings pour code scanning :

Recommandation de la suite de requêtes étendues pour la configuration par défaut

Code scanning propose des groupes spécifiques de requêtes CodeQL, appelés suites de requêtes CodeQL, à exécuter contre votre code. Par défaut, la suite de requêtes « Par défaut » est exécutée. GitHub propose également la suite de requêtes « étendue », qui contient toutes les requêtes de la suite de requêtes « par défaut », ainsi que des requêtes supplémentaires avec une précision et une sévérité moindres. Pour suggérer la suite de requêtes « Étendue » au sein de votre organisation, sélectionnez Recommander la suite de requêtes étendue pour les référentiels qui activent la configuration par défaut. Pour plus d'informations sur les suites de requêtes intégrées pour la configuration par défaut de CodeQL, consultez « Suites de requêtes CodeQL ».

Fixer un seuil d'échec pour les vérifications code scanning dans les demandes de tirage

Vous pouvez choisir les niveaux de gravité auxquels les vérifications de code scanning sur les demandes de tirages échoueront. Pour choisir un niveau de gravité de sécurité, sélectionnez le menu déroulant Sécurité : SECURITY-SEVERITY-LEVEL, puis cliquez sur un niveau de gravité de sécurité. Pour choisir un niveau de gravité d'alerte, sélectionnez le menu déroulant AUTRE : ALERT-SEVERITY-LEVEL, puis cliquez sur un niveau de gravité d'alerte. Pour plus d’informations, consultez « À propos des alertes d’analyse du code ».

Configuration des paramètres globaux secret scanning

Secret scanning est un outil de sécurité qui analyse l’intégralité de l’historique Git de votre référentiel, ainsi que les problèmes, les demandes de tirage et les discussions dans ce référentiel, pour les secrets divulgués qui ont été accidentellement commités, tels que des jetons ou des clés privées.

Vous pouvez personnaliser plusieurs global settings pour secret scanning :

Pour fournir un contexte aux développeurs lorsque secret scanning bloque une validation, vous pouvez afficher un lien avec plus d’informations sur la raison pour laquelle la validation a été bloquée. Pour inclure un lien, sélectionnez Ajouter un lien de ressource dans l’interface CLI et l’IU web lorsqu’une validation est bloquée. Dans la zone de texte, tapez le lien vers la ressource souhaitée, puis cliquez sur Enregistrer.

Créer des responsables de la sécurité pour votre organisation

Le rôle gestionnaire de sécurité accorde aux membres de votre organisation la possibilité de gérer les paramètres de sécurité et les alertes au sein de votre organisation. Pour accorder à tous les membres d’une équipe le rôle gestionnaire de sécurité, dans la zone de texte « Rechercher des équipes », tapez le nom de l’équipe souhaitée. Dans le menu déroulant qui s’affiche, cliquez sur l’équipe, puis sur Je comprends, accordez des autorisations au gestionnaire de sécurité.

Les gestionnaires de sécurité peuvent afficher les données de tous les référentiels de votre organisation par le biais d’une vue d'ensemble de la sécurité. Pour en savoir plus sur le rôle gestionnaire de sécurité, consultez «Gestion des gestionnaires de sécurité dans votre organisation ».