Évaluation de l’adoption des fonctionnalités de sécurité

Vous pouvez utiliser la vue d’ensemble de la sécurité pour voir quelles équipes et quels référentiels ont déjà activé les fonctionnalités de codage sécurisé, et identifier ceux qui ne sont pas encore protégés.

Qui peut utiliser cette fonctionnalité ?

L’accès nécessite :

  • Vues de l’organisation : accès en écriture aux référentiels de l’organisation
  • Vues d’entreprise : propriétaires et responsables de la sécurité de l’organisation

Organisations appartenant à un compte GitHub Team avec GitHub Secret Protection or GitHub Code Security, ou appartenant à un compte GitHub Enterprise

Dans cet article

À propos de l’adoption des fonctionnalités de codage sécurisé

Vous pouvez utiliser la vue d’ensemble de la sécurité pour voir quels référentiels et quelles équipes ont déjà activé chaque fonctionnalité de sécurité, et où les utilisateurs doivent être davantage incités à adopter ces fonctionnalités. La vue « Couverture de sécurité » présente un résumé et des informations détaillées sur l’activation des fonctionnalités pour une organisation. Vous pouvez filtrer la vue pour afficher un sous-ensemble de référentiels en utilisant les liens « activé » et « non activé », le menu déroulant « Équipes » et un champ de recherche dans l'en-tête de la page.

Capture d’écran de la section d’en-tête de la vue « Couverture de sécurité » de l'onglet « Sécurité » d’une organisation.

Remarque

Les « alertes de demande de tirage (pull request) » sont signalées comme activées uniquement lorsque code scanning a analysé au moins une demande de tirage (pull request) depuis l’activation des alertes pour le référentiel.

Vous pouvez télécharger un fichier CSV des données affichées sur la page « Couverture de sécurité ». Ce fichier de données peut être utilisé pour des activités comme la recherche en matière de sécurité et l'analyse approfondie des données, et peut s'intégrer facilement à des ensembles de données externes. Pour plus d’informations, consultez « Exportation de données de la vue d’ensemble de la sécurité ».

Vous pouvez utiliser la vue "Tendances d'habilitation" (beta) pour voir l'état d'habilitation et les tendances d'habilitation dans le temps pour Dependabot, code scanning, ou secret scanning pour les référentiels d'une organisation, ou entre les organisations d'une entreprise. Pour chacune de ces fonctionnalités, vous pouvez visualiser un graphique indiquant le pourcentage de référentiels dont la fonctionnalité est activée, ainsi qu'un tableau détaillé indiquant les pourcentages d'activation à différents moments. Pour plus d’informations, consultez Affichage des tendances d’activation pour une organisation et Affichage des tendances d’activation pour une entreprise.

Affichage de l’activation des fonctionnalités de sécurité pour une organisation

Vous pouvez afficher les données pour évaluer l’activation des fonctionnalités de codage sécurisé dans les référentiels d’une organisation.

  1. Sur GitHub, accédez à la page principale de l’organisation.

  2. Sous le nom de votre organisation, cliquez sur Sécurité.

    Capture d’écran de la barre de navigation horizontale d’une organisation. Un onglet, avec une icône de bouclier et le texte « Sécurité », est mis en évidence avec un encadré orange foncé.

  3. Pour afficher la vue « Couverture de sécurité », dans la barre latérale, cliquez sur Couverture.

  4. Utilisez les options du résumé de la page pour filtrer les résultats afin d'afficher les référentiels que vous souhaitez évaluer. La liste des référentiels et des métriques affichés sur la page est automatiquement mise à jour en fonction de votre sélection actuelle. Pour plus d’informations sur le filtrage, voir Filtrage des alertes dans la vue d’ensemble de la sécurité.

    • Utilisez le menu déroulant Équipes pour afficher des informations uniquement sur les dépôts appartenant à une ou plusieurs équipes. Pour plus d’informations, consultez « Gestion de l’accès de l’équipe à un dépôt de l’organisation ».
    • Cliquez sur NOMBRE activé ou NOMBRE non activé dans l’en-tête pour qu’une fonctionnalité affiche uniquement les dépôts avec cette fonctionnalité activée ou non activée.
    • En haut de la liste des référentiels, cliquez sur NOMBRE archivés pour afficher uniquement les référentiels archivés.
    • Cliquez dans la zone de recherche pour ajouter des filtres supplémentaires aux référentiels affichés.

Affichage de l’activation des fonctionnalités de codage sécurisé dans une entreprise

Vous pouvez afficher les données pour évaluer l’activation des fonctionnalités de sécurité dans les organisations d’une entreprise.

  1. Navigate to GitHub Enterprise Cloud.

  2. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil, puis sur Vos entreprises.

  3. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher. 1. En haut de la page, cliquez sur Sécurité.

  4. Pour afficher la vue « Couverture de la sécurité », dans la barre latérale, cliquez sur Couverture.

  5. Utilisez les options du résumé de la page pour filtrer les résultats afin d'afficher les référentiels que vous souhaitez évaluer. La liste des référentiels et des métriques affichés sur la page est automatiquement mise à jour en fonction de votre sélection actuelle. Pour plus d’informations sur le filtrage, voir Filtrage des alertes dans la vue d’ensemble de la sécurité.

    • Utilisez le menu déroulant Équipes pour afficher des informations uniquement sur les dépôts appartenant à une ou plusieurs équipes. Pour plus d’informations, consultez « Gestion de l’accès de l’équipe à un dépôt de l’organisation ».

    • Cliquez sur NOMBRE activé ou NOMBRE non activé dans l’en-tête pour qu’une fonctionnalité affiche uniquement les dépôts avec cette fonctionnalité activée ou non activée.

    • En haut de la liste des référentiels, cliquez sur NOMBRE archivés pour afficher uniquement les référentiels archivés.

    • Cliquez dans la zone de recherche pour ajouter des filtres supplémentaires aux référentiels affichés.

    Conseil

    Vous pouvez utiliser le filtre owner dans le champ de recherche pour filtrer les données par organisation. Pour plus d’informations, consultez Filtrage des alertes dans la vue d’ensemble de la sécurité.

Vous pouvez afficher les données pour évaluer l’état d’activation et les tendances d’état d’activation des fonctionnalités de sécurité d’une organisation.

  1. Sur GitHub, accédez à la page principale de l’organisation.

  2. Sous le nom de votre organisation, cliquez sur Sécurité.

    Capture d’écran de la barre de navigation horizontale d’une organisation. Un onglet, avec une icône de bouclier et le texte « Sécurité », est mis en évidence avec un encadré orange foncé.

  3. Dans la barre latérale, sous « Mesures », cliquez sur Tendances d’activation.

  4. Cliquez sur l’un des onglets pour « Dependabot », « Code scanning » ou « Secret scanning » pour afficher les tendances d’activation et le pourcentage de référentiels dans votre organisation avec cette fonctionnalité activée. Ces données sont affichées sous la forme d'un graphique et d'un tableau détaillé.

  5. Vous pouvez également utiliser les options en haut de la page « Tendances d’habilitation » pour filtrer le groupe de référentiels pour lesquels vous souhaitez voir les tendances d’habilitation.

    • Utilisez le sélecteur de dates pour définir l’intervalle de temps pour laquelle vous souhaitez afficher les tendances en matière d'habilitation.

    • Cliquez dans la zone de recherche pour ajouter des filtres supplémentaires aux tendances affichées en matière d'habilitation. Les filtres que vous pouvez appliquer sont les mêmes que ceux du tableau de bord « Vue d’ensemble ». Pour plus d’informations, consultez « Filtrage des alertes dans la vue d’ensemble de la sécurité ».

      Capture d’écran de la vue « Enablement trends » pour une organization, montrant l’état et les tendances de Dependabot sur 30 jours, avec un filtre appliqué.

Vous pouvez afficher les données pour évaluer l’état d’activation et les tendances d’état d’activation des fonctionnalités de sécurité au sein d’une entreprise.

  1. Navigate to GitHub Enterprise Cloud.

  2. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil, puis sur Vos entreprises.

  3. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher. 1. En haut de la page, cliquez sur Sécurité.

  4. Pour afficher la vue « Tendances d’activation », dans la barre latérale, cliquez sur Tendances d’habilitation.

  5. Cliquez sur l’un des onglets pour « Dependabot », « Code scanning » ou « Secret scanning » pour afficher les tendances d’activation et le pourcentage de référentiels dans l’ensemble des organisations de votre entreprise avec cette fonctionnalité activée. Ces données sont affichées sous la forme d'un graphique et d'un tableau détaillé.

  6. Vous pouvez également utiliser les options en haut de la page « Tendances d’habilitation » pour filtrer le groupe de référentiels pour lesquels vous souhaitez voir les tendances d’habilitation.

    • Utilisez le sélecteur de dates pour définir l’intervalle de temps pour laquelle vous souhaitez afficher les tendances en matière d'habilitation.
    • Cliquez dans la zone de recherche pour ajouter des filtres supplémentaires aux tendances affichées en matière d'habilitation. Pour plus d’informations, consultez « Filtrage des alertes dans la vue d’ensemble de la sécurité ».

Conseil

Vous pouvez utiliser le filtre owner: dans le champ de recherche pour filtrer les données par organisation. Pour plus d’informations, consultez « Filtrage des alertes dans la vue d’ensemble de la sécurité ».

Interpréter les données d'activation et agir en conséquence

Certaines fonctionnalités de sécurité peuvent et doivent être activées sur tous les référentiels. Par exemple, et la protection push réduisent le risque d’une fuite de sécurité, quelles que soient les informations stockées dans le référentiel. Si vous constatez que des référentiels n'utilisent pas encore ces fonctionnalités, vous devez les activer ou discuter d’un plan d'activation avec l'équipe propriétaire du référentiel. Pour plus d'informations sur l'activation des fonctionnalités pour l'ensemble d'une organisation, consultez Activation des fonctionnalités de sécurité dans votre organisation.

Les autres fonctionnalités ne conviennent pas à une utilisation dans tous les référentiels. Par exemple, il serait inutile d’activer Dependabot pour les référentiels qui utilisent uniquement des écosystèmes ou des langages non pris en charge. Il est donc normal que ces fonctionnalités ne soient pas activées pour certains référentiels.

Votre entreprise peut également avoir configuré des stratégies visant à limiter l’utilisation de certaines fonctionnalités de sécurité. Pour plus d’informations, consultez « Application de stratégies de sécurité et d’analyse du code pour votre entreprise ».