Gestion des fonctionnalités GitHub Advanced Security pour votre entreprise

Vous pouvez contrôler les fonctionnalités GitHub Advanced Security qui sécurisent et analysent le code dans toutes les organisations appartenant à votre entreprise.

Qui peut utiliser cette fonctionnalité ?

Enterprise owners can manage Advanced Security features for organizations in an enterprise.

Dans cet article

À propos de la gestion des fonctionnalités Advanced Security

Vous pouvez utiliser les fonctionnalités Advanced Security pour durcir la sécurité des organisations de votre entreprise. Vous pouvez rapidement activer des fonctionnalités de sécurité à grande échelle avec la GitHub-recommended security configuration, une collection de paramètres d’activation de sécurité que vous pouvez appliquer aux référentiels d’une organisation. Vous pouvez ensuite personnaliser davantage les fonctionnalités de GitHub Advanced Security au niveau de l’organisation avec les global settings. Consultez « À propos de l'activation des fonctionnalités de sécurité à grande échelle ».

Remarque : Security configurations et global settings sont actuellement en version bêta et susceptibles d’être modifiés.

Pour gérer les fonctionnalités individuelles GitHub Advanced Security, vous pouvez activer ou désactiver chaque fonctionnalité pour tous les référentiels existants et/ou nouveaux au sein des organisations appartenant à votre entreprise.

Vous pouvez également activer ou désactiver les fonctionnalités Advanced Security via l’API. Pour plus d’informations, consultez « Points de terminaison d’API REST pour l’analyse de secrets » dans la documentation de l’API REST.

Pour plus d’informations sur l’achat d’une licence pour GitHub Advanced Security, consultez « Inscription à GitHub Advanced Security ».

Si vous n’avez pas autorisé GitHub Advanced Security pour une organisation, cette organisation ne sera pas affectée par l’activation d’une fonctionnalité dans tous les dépôts existants ou tous les nouveaux dépôts. Pour plus d’informations sur l’interdiction de GitHub Advanced Security pour une organisation, consultez « Application de stratégies de sécurité et d’analyse du code pour votre entreprise ».

Quand vous activez une ou plusieurs fonctionnalités de sécurité et d’analyse pour les dépôts existants, tous les résultats s’affichent sur GitHub en quelques minutes.

Si vous activez les fonctionnalités de sécurité et d’analyse, GitHub effectue une analyse en lecture seule sur votre dépôt.

Gestion des fonctionnalités Advanced Security

Remarque : si vous activez GitHub Advanced Security, les validateurs actifs de ces référentiels utilisent des GitHub Advanced Security licences. Cette option est désactivée si vous avez dépassé la capacité de votre licence. Pour plus d’informations, consultez « À propos de la facturation pour GitHub Advanced Security ».

  1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

  2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

  3. Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.

  4. Dans la barre latérale gauche, cliquez sur Sécurité et analyse du code.

  5. Si vous le souhaitez, activez ou désactivez une fonctionnalité pour tous les dépôts existants.

    • À droite de la fonctionnalité, cliquez sur Tout désactiver ou Tout activer. Si la commande pour « GitHub Advanced Security » est désactivée, vous n’avez pas de licence disponible pour GitHub Advanced Security.

Capture d’écran de la section « Configurer les caractéristiques de sécurité et d’analyse » des paramètres d’entreprise. À droite de chaque paramètre se trouvent les boutons « Tout activer » et « Tout désactiver », encadrés en orange foncé.

  • Pour confirmer le changement, cliquez sur le bouton Tout activer/désactiver ou Activer/Désactiver pour les dépôts éligibles dans la boîte de dialogue qui s’affiche.

  1. Si vous le souhaitez, pour activer ou désactiver automatiquement une fonctionnalité lorsque de nouveaux référentiels privés et internes, les référentiels d’espaces de noms utilisateur appartenant à Enterprise Managed Users, ou les référentiels et référentiels publics avec GitHub Advanced Security activés sont créés, sélectionnez la case à cocher qui se trouve sous la fonctionnalité.

  2. Vous pouvez également autoriser automatiquement secret scanning à vérifier la validité d’un secret en l’envoyant au partenaire approprié. Pour ce faire, cochez la case correspondante sous « Secret scanning ». Vous pouvez également activer la vérification de validité d’un référentiel ou d’une organisation unique. Pour plus d’informations, consultez « Configuration de l’analyse des secrets pour vos dépôts » et « Gestion des paramètres de sécurité et d'analyse pour votre organisation ».

    Pour plus d’informations sur l’utilisation de l’API REST pour activer les vérifications de validité pour les modèles partenaires de votre entreprise, consultez « Points de terminaison d’API REST pour la sécurité et l’analyse du code d’entreprise .»

    Remarque : les vérifications de validité pour les modèles de partenaires sont actuellement en version bêta et sujettes à modification.

  3. Pour éventuellement inclure un lien de ressource dans le message que les membres voient quand ils tentent de pousser un secret, sélectionnez Ajouter un lien de ressource dans l’interface CLI et l’interface utilisateur web quand un commit est bloqué, puis tapez une URL et cliquez sur Enregistrer le lien.

    Remarque : Lorsqu’un lien personnalisé est configuré pour une organisation, la valeur au niveau de l’organisation remplace le lien personnalisé défini pour l’entreprise. Pour plus d’informations, consultez « Protection des poussées pour les référentiels et les organisations ».

    Capture d’écran de la section « Protection push » des paramètres des fonctionnalités de sécurité et d’analyse. La case à cocher et le champ de texte utilisé pour activer un lien personnalisé sont indiqués en orange foncé.