Configuration des paramètres de sécurité globaux pour votre organisation

Personnalisez les fonctionnalités GitHub Advanced Security et créez des gestionnaires de sécurité pour renforcer la sécurité de votre organisation.

Qui peut utiliser cette fonctionnalité ?

Les propriétaires d’organisation et les responsables de sécurité peuvent gérer les security configurations et les global settings d’une organisation.

Dans cet article

Remarque : Security configurations et global settings sont actuellement en version bêta et susceptibles d’être modifiés. Pour fournir des retours d’expérience sur ces fonctionnalités, consultez la discussion sur les retours d’expérience.

Pour savoir comment désactiver les security configurations et les global settings, consultez « Exploration des versions d’accès anticipé avec préversion des fonctionnalités ».

À propos de global settings

Outre security configurations, qui déterminent les paramètres de sécurité au niveau du référentiel, vous devez également configurer global settings pour votre organisation. Global settings s’appliquent à l’ensemble de votre organisation et peuvent personnaliser les fonctionnalités de GitHub Advanced Security en fonction de vos besoins. Vous pouvez également créer des gestionnaires de sécurité sur la page global settings pour surveiller et gérer la sécurité de votre organisation.

Accès à la page global settings de votre organisation

  1. Dans l’angle supérieur droit de GitHub.com, sélectionnez votre photo de profil, puis sur Vos organisations.

    Capture d’écran du menu déroulant sous l’image de profil de @octocat. « Vos organisations » est présenté en orange foncé.

  2. Sous le nom de votre organisation, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran des onglets dans le profil d’une organisation. L’onglet « Paramètres » est présenté en orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, sélectionnez le menu déroulant Sécurité du code, puis cliquez sur Global settings.

Configuration des paramètres globaux Dependabot

Dependabot se compose de trois fonctionnalités différentes qui vous aident à gérer vos dépendances :

  • Dependabot alerts : vous informent des vulnérabilités dans les dépendances que vous utilisez dans votre dépôt.
  • Dependabot security updates : déclenchent automatiquement des demandes de tirage (pull request) pour mettre à jour les dépendances que vous utilisez et qui présentent des vulnérabilités de sécurité connues.
  • Dependabot version updates : déclenchent automatiquement des demandes de tirage afin de maintenir vos dépendances à jour.

Vous pouvez personnaliser plusieurs global settings pour Dependabot :

Création et gestion de Règles de triage automatique de Dependabot

Vous pouvez créer et gérer Règles de triage automatique de Dependabot pour indiquer à Dependabot d’ignorer automatiquement ou de désactiver temporairement Dependabot alerts, et même d’ouvrir des demandes de tirage pour tenter de les résoudre. Pour configurer Règles de triage automatique de Dependabot, cliquez sur , puis créez ou modifiez une règle :

  • Vous pouvez créer une règle en cliquant sur Nouvelle règle, puis en entrant les détails de votre règle et en cliquant sur Créer une règle.
  • Vous pouvez modifier une règle existante en cliquant sur , puis en effectuant les modifications souhaitées et en cliquant sur Enregistrer la règle.

Pour plus d’informations sur Règles de triage automatique de Dependabot, consultez « À propos des règles de triage automatique de Dependabot » et « Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité ».

Groupement de Dependabot security updates

Dependabot peut regrouper toutes les mises à jour de sécurité suggérées automatiquement dans une seule demande de tirage pour réduire le bruit. Pour activer les mises à jour de sécurité groupées, sélectionnez Mises à jour de sécurité groupées. Pour plus d’informations sur les mises à jour groupées et les options de personnalisation, consultez « Configuration des mises à jour de sécurité Dependabot ».

Activation de Dependabot sur les éxécuteurs hébergés par GitHub

Vous pouvez autoriser Dependabot à utiliser des éxécuteurs hébergés par GitHub et l’action Dependabot pour effectuer des mises à jour des dépendances. Pour activer Dependabot pour les éxécuteurs hébergés par GitHub sur tous les dépôts de votre organisation, cliquez sur Activer tout. Pour activer Dependabot pour les éxécuteurs hébergés par GitHub sur tous les nouveaux dépôts de votre organisation, sélectionnez Activer automatiquement pour les nouveaux dépôts. Pour plus d’informations, consultez « À propos de Dependabot sur les exécuteurs GitHub Actions ».

Accorder à Dependabot l'accès aux dépôts privés et internes

Pour mettre à jour les dépendances privées des référentiels de votre organisation, Dependabot a besoin d’accéder à ces référentiels. Pour accorder à Dependabot l’accès au dépôt privé ou interne souhaité, faites défiler vers le bas jusqu’à la section « Accorder à Dependabot l’accès aux référentiels privés », puis utilisez la barre de recherche pour rechercher et sélectionner le dépôt souhaité. N’oubliez pas que l’octroi de Dependabot à un dépôt signifie que tous les utilisateurs de votre organisation auront accès au contenu de ce référentiel via Dependabot updates. Pour plus d'informations sur les écosystèmes pris en charge pour les dépôts privés, consultez « À propos des mises à jour de version Dependabot ».

Configuration des paramètres globaux code scanning

Code scanning es une fonctionnalité que vous utilisez pour analyser le code dans un dépôt GitHub afin de détecter d’éventuelles vulnérabilités de sécurité et erreurs de codage. Tous les problèmes identifiés par l’analyse sont énumérés dans votre référentiel.

Vous pouvez personnaliser plusieurs global settings pour code scanning :

Recommandation de la suite de requêtes étendues pour la configuration par défaut

Code scanning propose des groupes spécifiques de requêtes CodeQL, appelés suites de requêtes CodeQL, à exécuter contre votre code. Par défaut, la suite de requêtes « Par défaut » est exécutée. GitHub propose également la suite de requêtes « étendue », qui contient toutes les requêtes de la suite de requêtes « par défaut », ainsi que des requêtes supplémentaires avec une précision et une sévérité moindres. Pour suggérer la suite de requêtes « Étendue » au sein de votre organisation, sélectionnez Recommander la suite de requêtes étendue pour les référentiels qui activent la configuration par défaut. Pour plus d'informations sur les suites de requêtes intégrées pour la configuration par défaut de CodeQL, consultez « Suites de requêtes CodeQL ».

Activation de l'autofixation pour CodeQL

Vous pouvez sélectionner Correction automatique pour CodeQL pour activer la correction automatique pour tous les dépôts de votre organisation qui utilisent la configuration avancée par défaut de CodeQL ou CodeQL. Autofix est une extension alimenté par GitHub Copilot de code scanning qui suggère des correctifs pour les alertes code scanning dans les demandes de tirage. Pour plus d’informations, consultez « À propos de la correction automatique de l’analyse du code CodeQL ».

Fixer un seuil d'échec pour les vérifications code scanning dans les demandes de tirage

Vous pouvez choisir les niveaux de gravité auxquels les vérifications de code scanning sur les demandes de tirages échoueront. Pour choisir un niveau de gravité de sécurité, sélectionnez le menu déroulant Sécurité : SECURITY-SEVERITY-LEVEL, puis cliquez sur un niveau de gravité de sécurité. Pour choisir un niveau de gravité d'alerte, sélectionnez le menu déroulant AUTRE : ALERT-SEVERITY-LEVEL, puis cliquez sur un niveau de gravité d'alerte. Pour plus d’informations, consultez « À propos des alertes d’analyse du code ».

Configuration des paramètres globaux secret scanning

Secret scanning est un outil de sécurité qui analyse l’intégralité de l’historique Git de votre référentiel, ainsi que les problèmes, les demandes de tirage et les discussions dans ce référentiel, pour les secrets divulgués qui ont été accidentellement commités, tels que des jetons ou des clés privées.

Vous pouvez personnaliser plusieurs global settings pour secret scanning :

Vérification automatique des secrets du modèle partenaire

Pour réduire le taux de faux positifs secret scanning, vous pouvez vérifier automatiquement la validité de certains secrets de modèle partenaire en envoyant chaque secret au fournisseur. Pour activer cette vérification automatique, sélectionnez Vérifier automatiquement si un secret est valide en l’envoyant au partenaire approprié. Pour savoir quels sont les partenaires qui prennent en charge les contrôles de validité, consultez « Gestion des alertes à partir de l’analyse des secrets ».

Analyse des modèles non fournisseurs

Vous pouvez choisir d’analyser les modèles non fournisseurs, tels que les clés privées, pour détecter les secrets non-fournisseurs avant qu’ils ne soient divulguées. Pour activer ces analyses, sélectionnez Rechercher des modèles non fournisseurs. N’oubliez pas que les jetons non fournisseurs ont souvent un taux plus élevé de faux positifs. Pour en savoir plus sur les modèles non fournisseurs, consultez « Modèles d'analyse des secrets » et « Gestion des alertes à partir de l’analyse des secrets ».

Remarque : La détection des modèles non fournisseurs est actuellement en version bêta et susceptible de changer.

Pour fournir un contexte aux développeurs lorsque secret scanning bloque une validation, vous pouvez afficher un lien avec plus d’informations sur la raison pour laquelle la validation a été bloquée. Pour inclure un lien, sélectionnez Ajouter un lien de ressource dans l’interface CLI et l’IU web lorsqu’une validation est bloquée. Dans la zone de texte, tapez le lien vers la ressource souhaitée, puis cliquez sur Enregistrer.

Définition des modèles personnalisés

Vous pouvez définir des modèles personnalisés pour secret scanning à l'aide d'expressions régulières. Les modèles personnalisés peuvent identifier des secrets qui ne sont pas détectés par les modèles par défaut pris en charge par secret scanning. Pour créer un modèle personnalisé, cliquez sur Nouveau modèle, puis entrez les détails de votre modèle, puis cliquez sur Enregistrer et sécher. Pour plus d'informations sur les modèles personnalisés, consultez « Définition de modèles personnalisés pour l’analyse des secrets ».

Créer des responsables de la sécurité pour votre organisation

Le rôle gestionnaire de sécurité accorde aux membres de votre organisation la possibilité de gérer les paramètres de sécurité et les alertes au sein de votre organisation. Pour accorder à tous les membres d’une équipe le rôle gestionnaire de sécurité, dans la zone de texte « Rechercher des équipes », tapez le nom de l’équipe souhaitée. Dans le menu déroulant qui s’affiche, cliquez sur l’équipe, puis sur Je comprends, accordez des autorisations au gestionnaire de sécurité.

Les gestionnaires de sécurité peuvent afficher les données de tous les référentiels de votre organisation par le biais d’une vue d'ensemble de la sécurité. Pour en savoir plus sur le rôle gestionnaire de sécurité, consultez «Gestion des gestionnaires de sécurité dans votre organisation ».