À propos de custom security configurations
Nous vous recommandons de sécuriser votre organisation avec la GitHub-recommended security configuration, puis d’évaluer les résultats de sécurité sur vos dépôts avant de configurer les custom security configurations. Pour plus d’informations, consultez « Application de la configuration de sécurité recommandée par GitHub dans votre organisation ».
Avec les custom security configurations, vous pouvez créer des collections de paramètres d’activation pour les produits de sécurité de GitHub pour répondre aux besoins de sécurité spécifiques de votre organisation. Par exemple, vous pouvez créer une custom security configuration différente pour chaque groupe de référentiels afin de refléter leurs différents niveaux de visibilité, de tolérance au risque et d’impact.
Vous pouvez également choisir d’inclure ou non les fonctionnalités GitHub Code Security ou GitHub Secret Protection dans une configuration. Si vous le faites, gardez à l’esprit que ces fonctionnalités entraînent des coûts d’utilisation (ou nécessitent des licences GitHub Advanced Security) lorsqu’elles sont appliquées à des référentiels privés et internes. Pour plus d’informations, consultez À propos de GitHub Advanced Security.
Important
L’ordre et les noms de certains paramètres diffèrent selon que vous utilisez des licences pour le produit d’origine GitHub Advanced Security ou pour les deux nouveaux produits : GitHub Code Security et GitHub Secret Protection. Consultez Créer une configuration GitHub Advanced Security ou Créer une configuration Secret Protection and Code Security .
Création d’une configuration Secret Protection and Code Security
-
Dans le coin supérieur droit de GitHub, sélectionnez votre photo de profil, puis cliquez sur Vos organisations.
-
Sous le nom de votre organisation, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.
-
Dans la section « Sécurité » de la barre latérale, sélectionnez le menu déroulant Advanced Security, puis cliquez sur Configurations.
-
Dans la section « Security configurations », cliquez sur Nouvelle configuration.
-
Pour vous aider à identifier votre custom security configuration et clarifier son objectif sur la page « Security configurations », nommez votre configuration et créez une description.
-
Vous pouvez également activer « Secret Protection », une fonctionnalité payante pour les référentiels privés et internes . L’activation de Secret Protection active les alertes pour secret scanning. De plus, vous pouvez choisir d’activer, de désactiver ou de conserver les paramètres existants pour les fonctionnalités suivantes secret scanning :
- Contrôles de validité. Pour en savoir plus sur les vérifications de validité des modèles de partenaire, consultez Évaluation des alertes à partir de l’analyse des secrets.
- Modèles non-fournisseurs. Pour en savoir plus sur l’analyse des modèles non-fournisseurs, consultez Modèles d’analyse de secrets pris en charge et Affichage et filtrage des alertes à partir de l’analyse des secrets.
- Analyser les mots de passe génériques. Pour en savoir plus, consultez Détection responsable des secrets génériques avec l’analyse des secrets Copilot.
- Protection push. Pour en savoir plus sur la protection d’envoi (push), consultez À propos de la protection push.
- Privilèges de contournement. En attribuant des privilèges de contournement, les membres de l’organisation sélectionnés peuvent contourner la protection Push, et il existe un processus d’examen et d’approbation pour tous les autres contributeurs. Consultez À propos du contournement délégué pour la protection Push.
- Empêcher les rejets d’alertes directs. Pour en savoir plus, consultez Activation du rejet d’alerte délégué pour l’analyse des secrets.
-
Vous pouvez également activer « Code Security », une fonctionnalité payante pour les référentiels privés et internes . Vous pouvez choisir d’activer, de désactiver ou de conserver les paramètres existants pour les fonctionnalités suivantes code scanning :
- Configuration par défaut. Pour en savoir plus sur la configuration par défaut, consultez Définition de la configuration par défaut pour l’analyse du code.
Remarque
Pour créer une configuration que vous pouvez appliquer à un référentiel qui utilise la configuration avancée pour CodeQL, choisissez « Activé avec l’installation avancée autorisée ». Ce paramètre active la configuration par défaut dans les référentiels où la configuration avancée pour CodeQL n’est pas détectée. Option disponible à partir de GitHub Enterprise Server 3.19.
- Type d’exécuteur. Si vous souhaitez cibler des exécuteurs spécifiques pour code scanning, vous pouvez choisir d’utiliser des exécuteurs étiquetés personnalisés à cette étape. Consultez Définition de la configuration par défaut pour l’analyse du code.
- Empêcher les rejets d’alertes directs. Pour en savoir plus, consultez Activation du rejet d’alerte délégué pour l’analyse du code.
- Configuration par défaut. Pour en savoir plus sur la configuration par défaut, consultez Définition de la configuration par défaut pour l’analyse du code.
-
Toujours sous « Code Security », dans le tableau « Analyse des dépendances », choisissez si vous souhaitez activer, désactiver ou conserver les paramètres existants pour les fonctionnalités d’analyse des dépendances suivantes :
- Graphe des dépendances. Pour en savoir plus sur graphe des dépendances, consultez À propos du graphe de dépendances.
Conseil
Lorsque « Code Security » et le graphe des dépendances sont activés, cela permet la révision des dépendances, consultez À propos de la vérification des dépendances.
- Soumission automatique des dépendances. Pour en savoir plus sur la soumission automatique des dépendances, consultez Configuration de la soumission automatique des dépendances pour votre dépôt.
- Les alertes Dependabot. Pour plus d’informations sur Dependabot, consultez À propos des alertes Dependabot.
- Mises à jour de sécurité. Pour en savoir plus sur les mises à jour de sécurité, consultez À propos des mises à jour de sécurité Dependabot.
- Graphe des dépendances. Pour en savoir plus sur graphe des dépendances, consultez À propos du graphe de dépendances.
-
Pour le « Signalement privé des vulnérabilités », choisissez si vous souhaitez activer, désactiver ou conserver les paramètres existants. Pour en savoir plus sur les rapports de vulnérabilité privés, consultez Configuration de rapports de vulnérabilité privés pour un dépôt.
-
Vous pouvez également, dans la section « Stratégie », utiliser des options supplémentaires pour contrôler la manière dont la configuration est appliquée :
- Utilisation par défaut pour les référentiels nouvellement créés. Sélectionnez le menu déroulant Aucun , puis cliquez sur Publique, Privé et interne, ou Tous les référentiels.
Remarque
La security configuration par défaut d’une organisation est uniquement appliquée automatiquement aux nouveaux référentiels créés dans votre organisation. Si un référentiel est transféré dans votre organisation, vous devez toujours appliquer manuellement une security configuration au référentiel.
- Appliquer la configuration. Bloquer les propriétaires de référentiels de blocs pour qu’ils ne modifient pas les fonctionnalités activées ou désactivées par la configuration (les fonctionnalités qui ne sont pas définies ne sont pas appliquées). Sélectionnez Appliquer dans le menu déroulant.
- Utilisation par défaut pour les référentiels nouvellement créés. Sélectionnez le menu déroulant Aucun , puis cliquez sur Publique, Privé et interne, ou Tous les référentiels.
-
Pour terminer la création de votre custom security configuration, cliquez sur Enregistrer la configuration.
Remarque
Si un utilisateur de votre entreprise tente de modifier l'état d'activation d'une fonctionnalité dans une configuration imposée à l'aide de l'API REST, l'appel à l'API semblera réussir, mais aucun état d'activation ne sera modifié.
Certaines situations peuvent compromettre l'application des security configurations pour un référentiel. Par exemple, l'activation de code scanning ne s'appliquera pas à un référentiel si :
- GitHub Actions est initialement activée sur le référentiel, mais est ensuite désactivée dans le référentiel.
- Les GitHub Actions requises par les code scanning configurations ne sont pas disponibles dans le référentiel.
- La définition des langues qui ne doivent pas être analysées à l'aide de code scanning est modifiée.
Création d’une configuration GitHub Advanced Security
-
Dans le coin supérieur droit de GitHub, sélectionnez votre photo de profil, puis cliquez sur Vos organisations.
-
Sous le nom de votre organisation, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.
-
Dans la section « Sécurité » de la barre latérale, sélectionnez le menu déroulant Advanced Security, puis cliquez sur Configurations.
-
Dans la section « Configurations de sécurité », cliquez sur Nouvelle configuration.
-
Pour faciliter l’identification de votre custom security configuration et clarifier son objectif sur la page « Nouvelle configuration », nommez votre configuration et créez une description.
-
Sur la ligne « Fonctionnalités GitHub Advanced Security », choisissez d’inclure ou d’exclure les fonctionnalités GitHub Advanced Security (GHAS).
-
Dans le tableau « Secret scanning », choisissez si vous souhaitez activer, désactiver ou conserver les paramètres existants pour les fonctionnalités de sécurité suivantes :
- Contrôles de validité. Pour en savoir plus sur les vérifications de validité des modèles de partenaire, consultez Évaluation des alertes à partir de l’analyse des secrets.
- Modèles non-fournisseurs. Pour en savoir plus sur l’analyse des modèles non-fournisseurs, consultez Modèles d’analyse de secrets pris en charge et Affichage et filtrage des alertes à partir de l’analyse des secrets.
- Analyser les mots de passe génériques. Pour en savoir plus, consultez Détection responsable des secrets génériques avec l’analyse des secrets Copilot.
- Protection push. Pour en savoir plus sur la protection d’envoi (push), consultez À propos de la protection push.
- Privilèges de contournement. En attribuant des privilèges de contournement, les membres de l’organisation sélectionnés peuvent contourner la protection Push, et il existe un processus d’examen et d’approbation pour tous les autres contributeurs. Consultez À propos du contournement délégué pour la protection Push.
- Empêcher les rejets d’alertes directs. Pour en savoir plus, consultez Activation du rejet d’alerte délégué pour l’analyse des secrets.
-
Dans le tableau « Code scanning », choisissez si vous souhaitez activer, désactiver ou conserver les paramètres existants pour la configuration par défaut de code scanning.
- Configuration par défaut. Pour en savoir plus sur la configuration par défaut, consultez Définition de la configuration par défaut pour l’analyse du code.
Remarque
Pour créer une configuration que vous pouvez appliquer à un référentiel qui utilise la configuration avancée pour CodeQL, choisissez « Activé avec l’installation avancée autorisée ». Ce paramètre active la configuration par défaut dans les référentiels où la configuration avancée pour CodeQL n’est pas détectée. Option disponible à partir de GitHub Enterprise Server 3.19.
- Type d’exécuteur. Si vous souhaitez cibler des exécuteurs spécifiques pour code scanning, vous pouvez choisir d’utiliser des exécuteurs étiquetés personnalisés à cette étape. Consultez Définition de la configuration par défaut pour l’analyse du code.
- Empêcher les rejets d’alertes directs. Pour en savoir plus, consultez Activation du rejet d’alerte délégué pour l’analyse du code.
- Configuration par défaut. Pour en savoir plus sur la configuration par défaut, consultez Définition de la configuration par défaut pour l’analyse du code.
-
Dans le tableau « Analyse des dépendances », choisissez si vous souhaitez activer, désactiver ou conserver les paramètres existants pour les fonctionnalités d’analyse des dépendances suivantes :
- Graphe des dépendances. Pour en savoir plus sur graphe des dépendances, consultez À propos du graphe de dépendances.
Conseil
Lorsque « GitHub Advanced Security » et le graphe des dépendances sont activés, cela permet la révision des dépendances, consultez À propos de la vérification des dépendances.
- Soumission automatique des dépendances. Pour en savoir plus sur la soumission automatique des dépendances, consultez Configuration de la soumission automatique des dépendances pour votre dépôt.
- Les alertes Dependabot. Pour plus d’informations sur Dependabot, consultez À propos des alertes Dependabot.
- Mises à jour de sécurité. Pour en savoir plus sur les mises à jour de sécurité, consultez À propos des mises à jour de sécurité Dependabot.
- Graphe des dépendances. Pour en savoir plus sur graphe des dépendances, consultez À propos du graphe de dépendances.
-
Pour le « Signalement privé des vulnérabilités », choisissez si vous souhaitez activer, désactiver ou conserver les paramètres existants. Pour en savoir plus sur les rapports de vulnérabilité privés, consultez Configuration de rapports de vulnérabilité privés pour un dépôt.
-
Vous pouvez également, dans la section « Stratégie », utiliser des options supplémentaires pour contrôler la manière dont la configuration est appliquée :
- Utilisation par défaut pour les référentiels nouvellement créés. Sélectionnez le menu déroulant Aucun , puis cliquez sur Publique, Privé et interne, ou Tous les référentiels.
Remarque
La security configuration par défaut d’une organisation est uniquement appliquée automatiquement aux nouveaux référentiels créés dans votre organisation. Si un référentiel est transféré dans votre organisation, vous devez toujours appliquer manuellement une security configuration au référentiel.
- Appliquer la configuration. Bloquer les propriétaires de référentiels de blocs pour qu’ils ne modifient pas les fonctionnalités activées ou désactivées par la configuration (les fonctionnalités qui ne sont pas définies ne sont pas appliquées). Sélectionnez Appliquer dans le menu déroulant.
- Utilisation par défaut pour les référentiels nouvellement créés. Sélectionnez le menu déroulant Aucun , puis cliquez sur Publique, Privé et interne, ou Tous les référentiels.
-
Pour terminer la création de votre custom security configuration, cliquez sur Enregistrer la configuration.
Étapes suivantes
Pour appliquer votre custom security configuration aux référentiels de votre organisation, consultez Application d’une configuration de sécurité personnalisée.
Pour savoir comment modifier votre custom security configuration, consultez Modification d’une configuration de sécurité personnalisée.