À propos des stratégies de sécurité
Pour donner des instructions aux personnes qui souhaitent signaler des failles de sécurité dans votre projet, vous pouvez ajouter un fichier SECURITY.md
à la racine de votre référentiel, docs
, ou au dossier .github
. L'ajout de ce fichier à cette (ces) partie(s) de votre référentiel crée automatiquement une ligne avec une description où les gens peuvent le consulter. Quand quelqu’un crée un problème dans votre référentiel, il voit un lien vers la stratégie de sécurité de votre projet.
Vous pouvez créer une stratégie de sécurité par défaut pour votre organisation ou votre compte personnel. Pour plus d’informations, consultez « Création d’un fichier d’intégrité de la communauté par défaut ».
Astuce : Pour aider les utilisateurs à trouver votre stratégie de sécurité, vous pouvez créer un lien vers votre fichier SECURITY.md
à partir d’autres emplacements dans votre référentiel, par exemple votre fichier README
. Pour plus d’informations, consultez « À propos des README ».
Une fois qu’un utilisateur a signalé une vulnérabilité de sécurité dans votre projet, vous pouvez utiliser GitHub Security Advisories pour divulguer, corriger et publier les informations sur la vulnérabilité. Pour plus d’informations sur le processus de signalement et de divulgation de vulnérabilités dans GitHub, consultez « À propos de la divulgation coordonnée des vulnérabilités de sécurité ». Pour plus d’informations sur les avis de sécurité des référentiels, consultez « À propos des avis de sécurité des référentiels. »
Vous pouvez également rejoindre GitHub Security Lab pour parcourir les rubriques liées à la sécurité et contribuer aux outils et projets de sécurité.
Pour obtenir un exemple de fichier SECURITY.md
réel, consultez https://github.com/electron/electron/blob/main/SECURITY.md.
Ajout d’une stratégie de sécurité à votre dépôt
-
Dans GitHub.com, accédez à la page principale du dépôt.
-
Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.
-
Dans la barre latérale gauche, sous « Rapports », cliquez sur Stratégie .
-
Cliquez sur Démarrer la configuration.
-
Dans le nouveau fichier
SECURITY.md
, ajoutez des informations sur les versions prises en charge de votre projet et sur la façon de signaler une vulnérabilité. -
Cliquez sur Valider les modifications...
-
Dans le champ de message de validation, tapez un message de validation court et descriptif qui indique la modification que vous avez apportée au fichier. Vous pouvez attribuer la validation à plusieurs auteurs dans le message de validation. Pour plus d’informations, consultez « Création d’une validation avec plusieurs auteurs ».
-
Si vous avez plusieurs adresses e-mail associées à votre compte sur GitHub.com, cliquez sur le menu déroulant d’adresses e-mail et sélectionnez l’adresse e-mail à utiliser comme adresse e-mail de l’auteur Git. Seules les adresses e-mail vérifiées apparaissent dans ce menu déroulant. Si vous avez activé la confidentialité de l’adresse e-mail, le mode sans réponse sera utilisé par défaut pour l’adresse e-mail de l’auteur de commit. Pour plus d’informations sur la forme exacte que l’adresse e-mail sans réponse peut prendre, consultez « Définition de votre adresse e-mail de commit ».
-
Sous les champs de message de commit, choisissez si vous souhaitez ajouter votre commit à la branche actuelle ou à une nouvelle branche. Si votre branche actuelle est la branche par défaut, vous devez choisir de créer une branche pour votre validation, puis de créer une demande de tirage (pull request). Pour plus d’informations, consultez « Création d’une demande de tirage ».
-
Cliquez sur Valider les modifications ou Proposer des modifications.