About custom security configurations
We recommend securing your organization with the GitHub-recommended security configuration, then evaluating the security findings on your repositories before configuring custom security configurations. For more information, see "Application de la configuration de sécurité recommandée par GitHub dans votre organisation."
With custom security configurations, you can create collections of enablement settings for GitHub's security products to meet the specific security needs of your organization. For example, you can create a different custom security configuration for each group of repositories to reflect their different levels of visibility, risk tolerance, and impact.
Creating a custom security configuration
Note
The enablement status of some security features is dependent on other, higher-level security features. For example, disabling dependency graph will also disable Dependabot, vulnerability exposure analysis, and security updates. For security configurations, dependent security features are indicated with indentation and .
-
Dans le coin supérieur droit de GitHub, sélectionnez votre photo de profil, puis cliquez sur Vos organisations.
-
Sous le nom de votre organisation, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.
-
Dans la section Sécurité de la barre latérale, sélectionnez le menu déroulant Sécurité du code, puis cliquez sur Configurations.
-
In the "Code security configurations" section, click New configuration.
-
To help identify your custom security configuration and clarify its purpose on the "Code security configurations" page, name your configuration and create a description.
-
In the "GitHub Advanced Security features" row, choose whether to include or exclude GitHub Advanced Security (GHAS) features. If you plan to apply a custom security configuration with GHAS features to private repositories, you must have available GHAS licenses for each active unique committer to those repositories, or the features will not be enabled. See "À propos de la facturation pour GitHub Advanced Security."
-
In the "Dependency graph" section of the security settings table, choose whether you want to enable, disable, or keep the existing settings for the following security features:
-
Dependency graph. To learn about dependency graph, see "À propos du graphe de dépendances."
-
Automatic dependency submission. To learn about automatic dependency submission, see "Configuration de la soumission automatique des dépendances pour votre dépôt."
-
Dependabot. To learn about Dependabot, see "À propos des alertes Dependabot."
-
Security updates. To learn about security updates, see "À propos des mises à jour de sécurité Dependabot."
Note
You cannot manually change the enablement settings for vulnerable function calls. If GitHub Advanced Security features and Dependabot alerts are enabled, vulnerable function calls is also enabled. Otherwise, it is disabled.
-
-
In the "Code scanning" section of the security settings table, choose whether you want to enable, disable, or keep the existing settings for code scanning default setup. To learn about default setup, see "Définition de la configuration par défaut pour l’analyse du code."
-
In the "Secret scanning" section of the security settings table, choose whether you want to enable, disable, or keep the existing settings for the following security features:
- Secret scanning. To learn about secret scanning, see "À propos de l’analyse des secrets."
- Validity check. To learn more about validity checks for partner patterns, see "Évaluation des alertes à partir de l’analyse des secrets".
- Non-provider patterns. To learn more about scanning for non-provider patterns, see "Modèles d’analyse de secrets pris en charge" and "Affichage et filtrage des alertes à partir de l’analyse des secrets."
- Push protection. To learn about push protection, see "À propos de la protection push."
-
Optionally, under "Push protection", choose whether you want to assign bypass privileges to selected actors in your organization. By assigning bypass privileges, selected organization members can bypass push protection, and there is a review and approval process for all other contributors. For further guidance on how to configure this setting, see "Activation du contournement délégué pour la protection Push."
-
In the "Private vulnerability reporting" section of the security settings table, choose whether you want to enable, disable, or keep the existing settings for private vulnerability reporting. To learn about private vulnerability reporting, see "Configuration de rapports de vulnérabilité privés pour un dépôt."
-
Optionally, in the "Policy" section, you can choose to automatically apply the security configuration to newly created repositories depending on their visibility. Select the None dropdown menu, then click Public, or Private and internal, or both.
Remarque : la security configuration par défaut d’une organisation est uniquement appliquée automatiquement aux nouveaux référentiels créés dans votre organisation. Si un référentiel est transféré dans votre organisation, vous devez toujours appliquer manuellement une security configuration au référentiel.
-
Optionally, in the "Policy" section, you can enforce the configuration and block repository owners from changing features that are enabled or disabled by the configuration (features that are not set aren't enforced). Next to "Enforce configuration", select Enforce from the dropdown menu.
Note
Si un utilisateur de votre organisation tente de modifier l'état d'activation d'une fonctionnalité dans une configuration imposée à l'aide de l'API REST, l'appel à l'API semblera réussir, mais aucun état d'activation ne sera modifié.
Certaines situations peuvent compromettre l'application des security configurations pour un référentiel. Par exemple, l'activation de code scanning ne s'appliquera pas à un référentiel si :
- GitHub Actions est initialement activée sur le référentiel, mais est ensuite désactivée dans le référentiel.
- Les GitHub Actions requises par les code scanning configurations ne sont pas disponibles dans le référentiel.
- La définition des langues qui ne doivent pas être analysées à l'aide de code scanning est modifiée.
-
To finish creating your custom security configuration, click Save configuration.
Next steps
To apply your custom security configuration to repositories in your organization, see "Application d’une configuration de sécurité personnalisée."
Pour savoir comment modifier votre custom security configuration, consultez « Modification d’une configuration de sécurité personnalisée ».