Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.
All products
Sécurité du code

Sécurisation de votre organisation

Dans cet article

Vous pouvez utiliser un certain nombre de fonctionnalités GitHub pour sécuriser votre organisation.

Qui peut utiliser cette fonctionnalité

Organization owners can configure organization security settings.

Introduction

Ce guide vous montre comment configurer des fonctionnalités de sécurité pour une organisation. Les besoins de sécurité de votre organisation sont uniques et vous n’avez peut-être pas besoin d’activer chaque fonctionnalité de sécurité. Pour plus d’informations, consultez « Fonctionnalités de sécurité de GitHub ».

Certaines fonctionnalités sont disponibles pour les dépôts de tous les plans. Des fonctionnalités supplémentaires sont disponibles pour les entreprises qui utilisent GitHub Advanced Security. Les fonctionnalités GitHub Advanced Security sont aussi activées pour tous les dépôts publics sur GitHub.com. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Gestion de l’accès à votre organisation

Vous pouvez utiliser des rôles pour contrôler les actions que les personnes peuvent entreprendre dans votre organisation. Par exemple, vous pouvez attribuer le rôle de gestionnaire de sécurité à une équipe pour lui donner la possibilité de gérer les paramètres de sécurité au sein de votre organisation ainsi que l’accès en lecture à tous les dépôts. Pour plus d’informations, consultez « Rôles dans une organisation ».

Création d’une stratégie de sécurité par défaut

Vous pouvez créer une stratégie de sécurité par défaut qui s’affiche dans tous les dépôts publics de votre organisation dépourvus de stratégie de sécurité. Pour plus d’informations, consultez « Création d’un fichier d’intégrité de la communauté par défaut ».

Gestion des Dependabot alerts et du graphe de dépendances

GitHub détecte les vulnérabilités dans les dépôts publics et affiche le graphe de dépendances. Vous pouvez activer ou désactiver les Dependabot alerts pour tous les dépôts publics appartenant à votre organisation. Vous pouvez activer ou désactiver les Dependabot alerts et le graphe de dépendances pour tous les dépôts privés appartenant à votre organisation.

  1. Cliquez sur votre photo de profil, puis sur Organisations.
  2. Cliquez sur Paramètres en regard de votre organisation.
  3. Cliquez sur Sécurité et analyse.
  4. Cliquez sur Activer tout ou Désactiver tout en regard de la fonctionnalité que vous souhaitez gérer.
  5. Si vous le souhaitez, sélectionnez Activer automatiquement pour les nouveaux dépôts.

Pour plus d’informations, consultez « À propos des alertes Dependabot », « Exploration des dépendances d’un dépôt » et « Gestion des paramètres de sécurité et d’analyse pour votre organisation ».

Gestion de la révision des dépendances

La révision des dépendances est une fonctionnalité Advanced Security qui vous permet de visualiser les modifications de dépendance dans les demandes de tirage (pull request) avant qu’elles ne soient fusionnées dans vos dépôts. Pour plus d’informations, consultez « À propos de la vérification des dépendances ».

La révision des dépendances est déjà activée pour tous les dépôts publics. Pour les dépôts privés et internes appartenant à une organisation, vous pouvez activer la révision des dépendances en activant le graphe de dépendances et en activant Advanced Security (voir ci-dessous).

Gestion des Dependabot security updates

Pour tout dépôt qui utilise des Dependabot alerts, vous pouvez activer les Dependabot security updates afin de déclencher des demandes de tirage avec des mises à jour de sécurité quand des vulnérabilités sont détectées. Vous pouvez également activer ou désactiver les Dependabot security updates pour tous les dépôts au sein de votre organisation.

  1. Cliquez sur votre photo de profil, puis sur Organisations.
  2. Cliquez sur Paramètres en regard de votre organisation.
  3. Cliquez sur Sécurité et analyse.
  4. Cliquez sur Activer tout ou Désactiver tout en regard de Dependabot security updates.
  5. Si vous le souhaitez, sélectionnez Activer automatiquement pour les nouveaux dépôts.

Pour plus d’informations, consultez « À propos des mises à jour de sécurité Dependabot » et « Gestion des paramètres de sécurité et d’analyse pour votre organisation ».

Gestion des Dependabot version updates

Vous pouvez autoriser Dependabot à déclencher automatiquement des demandes de tirage afin de maintenir vos dépendances à jour. Pour plus d’informations, consultez « À propos des mises à jour de version Dependabot ».

Pour activer les Dependabot version updates, vous devez créer un fichier de configuration dependabot.yml. Pour plus d’informations, consultez « Configuration de mises à jour de version Dependabot ».

Gestion de GitHub Advanced Security

Si votre organisation appartient à une entreprise qui possède une licence Advanced Security, vous pouvez activer ou désactiver les fonctionnalités Advanced Security.

  1. Cliquez sur votre photo de profil, puis sur Organisations.
  2. Cliquez sur Paramètres en regard de votre organisation.
  3. Cliquez sur Sécurité et analyse.
  4. Cliquez sur Activer tout ou Désactiver tout en regard de GitHub Advanced Security.
  5. Si vous le souhaitez, sélectionnez Activer automatiquement pour les nouveaux dépôts privés.

Pour plus d’informations, consultez « À propos de GitHub Advanced Security » et « Gestion des paramètres de sécurité et d’analyse pour votre organisation ».

Configuration de l’secret scanning

L’Secret scanning est disponible pour tous les dépôts publics. Les organisations qui utilisent GitHub Enterprise Cloud avec Advanced Security peuvent également activer l’secret scanning pour les dépôts privés et internes.

Vous pouvez activer ou désactiver l’secret scanning pour tous les dépôts publics dans votre organisation et pour tous les dépôts privés et internes qui ont GitHub Advanced Security activé.

  1. Cliquez sur votre photo de profil, puis sur Organisations.

  2. Cliquez sur Paramètres en regard de votre organisation.

  3. Cliquez sur Analyse et sécurité du code.

  4. Cliquez sur Tout activer ou Tout désactiver à côté de l’Secret scanning.

  5. Si vous le souhaitez, sélectionnez Activer automatiquement pour les nouveaux dépôts publics et les dépôts avec Advanced Security activé.

Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre organisation ».

Configuration de l’code scanning

Code scanning est une fonctionnalité Advanced Security qui vérifie si le code contient des vulnérabilités et des erreurs de sécurité.

Code scanning est disponible pour tous les référentiels publics. Les organisations qui utilisent GitHub Enterprise Cloud avec Advanced Security peuvent également utiliser l’code scanning pour les référentiels privés et internes.

Code scanning est configuré au niveau du référentiel. Pour plus d’informations, consultez « Configuration de l’analyse du code pour un référentiel ».

Étapes suivantes

Vous pouvez afficher et gérer les alertes à partir des fonctionnalités de sécurité pour résoudre les dépendances et les vulnérabilités dans votre code. Pour plus d’informations, consultez « Affichage et mise à jour des alertes Dependabot », « Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances », « Gestion des alertes d’analyse du code pour votre référentiel » et « Gestion des alertes à partir de l’analyse des secrets ».

Vous pouvez également superviser les réponses aux alertes de sécurité au sein de votre organisation. Pour plus d’informations, consultez « Audit des alertes de sécurité ».

Si vous avez une vulnérabilité de sécurité, vous pouvez créer un avis de sécurité pour discuter et résoudre en privé la vulnérabilité. Pour plus d’informations, consultez « À propos des avis de sécurité des référentiels » et « Création d’un avis de sécurité de dépôt ».

Vous pouvez afficher, filtrer et trier des alertes de sécurité pour des référentiels détenus par votre organisation en ce qui concerne la sécurité. Pour plus d’informations, consultez « About security overview ».

Pour aller plus loin

"Accès aux rapports de conformité pour votre organisation"