La vue d’ensemble de la sécurité contient des vues ciblées dans lesquelles vous pouvez explorer les tendances en matière de détection, de correction et de prévention des alertes de sécurité et approfondir l’état actuel de vos bases de code.
- Les informations sur les fonctionnalités et alertes Dependabot s’affichent pour tous les dépôts.
- Les informations sur les fonctionnalités GitHub Advanced Security, comme code scanning et secret scanning, s’affichent pour les entreprises qui utilisent GitHub Advanced Security et pour les référentiels publics.
Pour plus d’informations, consultez « À propos des alertes Dependabot » et « À propos de GitHub Advanced Security ».
À propos des vues
Note
Toutes les vues affichent des informations et des métriques pour les branches par défaut des référentiels que vous avez l’autorisation d’afficher dans une organisation ou une entreprise.
Les vues sont interactives avec des filtres qui vous permettent d’examiner en détail les données agrégées et d’identifier les sources de risque élevé, de voir les tendances de sécurité et de voir l’impact de l’analyse des demandes de tirage sur le blocage des vulnérabilités de sécurité entrant dans votre code. Lorsque vous appliquez plusieurs filtres pour vous concentrer sur des zones d’intérêt plus étroites, toutes les données et métriques de la vue changent pour refléter votre sélection actuelle. Pour plus d’informations, consultez « Filtrage des alertes dans la vue d’ensemble de la sécurité ».
Vous pouvez télécharger des fichiers de valeurs séparées par des virgules (CSV) contenant des données des pages « Vue d’ensemble », « Risque », « Couverture » et « Alertes de demande de tirage CodeQL » de la vue d’ensemble de la sécurité de votre organisation. Ces fichiers peuvent être utilisés pour des activigés comme la recherche en matière de sécurité et l'analyse approfondie des données, et s'intègrent facilement à des jeux de données externes. Pour en savoir plus, consultez « Exportation de données de la vue d’ensemble de la sécurité ».
Il existe des vues dédiées pour chaque type d’alerte de sécurité. Vous pouvez limiter votre analyse à un type spécifique d’alertes et affiner davantage les résultats avec une plage de filtres propre à chaque affichage. Par exemple, dans la vue des alertes secret scanning, vous pouvez utiliser le filtre « Type de secret » pour voir uniquement les alertes Alertes d’analyse de secrets pour un secret spécifique, comme un GitHub personal access token.
Note
La vue d’ensemble de la sécurité affiche les alertes actives déclenchées par les fonctionnalités de sécurité. Si aucune alerte n'apparaît dans la vue d'ensemble de la sécurité pour un référentiel, il subsiste peut-être des failles de sécurité ou des erreurs de code non détectées ou la fonctionnalité n’est pas activée pour ce référentiel.
À propos de la vue d’ensemble de la sécurité des organisations
L’équipe en charge de la sécurité des applications au sein de votre entreprise peut utiliser différentes vues pour effectuer des analyses générales et spécifiques de l’état de la sécurité de votre organisation. Par exemple, l’équipe peut utiliser la vue « Vue d’ensemble » du tableau de bord pour suivre le paysage de sécurité et la progression de votre organisation.
Vous trouverez la vue d’ensemble de la sécurité sous l’onglet Sécurité pour toute organisation. Chaque vue présente un résumé des données auxquelles vous avez accès. À mesure que vous ajoutez des filtres, toutes les données et métriques de la vue changent pour refléter les référentiels ou les alertes que vous avez sélectionnés. For information about permissions, see "Permission to view data in security overview."
La vue d'ensemble de la sécurité comporte plusieurs vues qui permettent d'explorer les données d'activation et d'alerte de différentes manières.
- Vue d’ensemble : visualiser les tendances en matière de détection, correction et prévention des alertes de sécurité, consultez « Affichage des insights de sécurité ».
- Affichages des risques et des alertes : explorez les risques liés aux alertes de sécurité de tous les types ou concentrez-vous sur un type d’alerte unique et identifiez votre risque à partir de dépendances vulnérables spécifiques, de faiblesses de code ou de secrets divulguées, consultez « Évaluation des risques liés à la sécurité de votre code ».
- Couverture : évaluer l’adoption des fonctionnalités de sécurité du code dans les référentiels de l’organisation, consultez « Évaluation de l'adoption des fonctionnalités de sécurité du code ».
- Tendances d’activation : découvrez la rapidité avec laquelle différentes équipes adoptent des fonctionnalités de sécurité.
- Alertes de demande de tirage CodeQL : évaluez l’impact de l’exécution de CodeQL sur les demandes de tirage et de la résolution des alertes d’analyse du code par les équipes de développement, consultez « Affichage des métriques pour les alertes de demande de tirage ».
- Analyse des secrets : découvrez quels types de secrets sont bloqués par la protection push et quelles équipes contournent la protection push, consultez « Affichage des mesures pour la protection par poussée de l'analyse secrète » et « Examen des demandes de contournement de la protection push ».
Vous créez et gérez également des campagnes de sécurité pour corriger les alertes de la vue d’ensemble de la sécurité, consultez «Création et suivi de campagnes de sécurité» et «Meilleures pratiques pour résoudre les alertes de sécurité à grande échelle».
À propos de la vue d’ensemble de la sécurité pour les entreprises
Vous trouverez la vue d’ensemble de la sécurité sous l’onglet Sécurité du code pour votre entreprise. Chaque page affiche des informations de sécurité agrégées et propres au référentiel pour votre entreprise.
Comme pour la vue d'ensemble de la sécurité pour les organisations, la vue d'ensemble de la sécurité pour les entreprises comporte plusieurs vues qui offrent différentes façons d'explorer les données.
For information about permissions, see "Permission to view data in security overview."
Autorisation d’afficher des données dans vue d’ensemble de la sécurité
Vue d’ensemble au niveau de l’organisation
Si vous êtes propriétaire ou responsable de la sécurité d’une organisation, vous pouvez voir les données de tous les référentiels de l’organisation dans toutes les vues.
Si vous êtes membre de l’organisation ou de l’équipe, vous pouvez afficher la vue d’ensemble de la sécurité de l’organisation et voir les données des dépôts auxquels vous avez un accès approprié.
Membre d’organisation ou d’équipe avec | Vue d’ensemble du tableau de bord | Vues des risques et des alertes | Vue de la couverture |
---|---|---|---|
Accès admin à un ou plusieurs référentiels | Afficher les données pour ces référentiels | Afficher les données pour ces référentiels | Afficher les données de ces référentiels |
Accès write à un ou plusieurs référentiels | Afficher les données code scanning et Dependabot pour ces référentiels | Afficher les données code scanning et Dependabot pour ces référentiels | Pas d’accès |
Accès de read ou triage à un ou plusieurs dépôts | Aucun accès | Aucun accès | Pas d’accès |
Accès aux alertes de sécurité pour un ou plusieurs référentiels | Afficher toutes les données relatives aux alertes de sécurité pour ces référentiels | Afficher toutes les données relatives aux alertes de sécurité pour ces référentiels | Pas d’accès |
Rôle d'organisation personnalisé permettant de visualiser un ou plusieurs types d'alertes de sécurité | Afficher les données d’alerte autorisées pour tous les référentiels | Afficher les données d'alerte autorisées pour tous les référentiels dans toutes les vues | Aucun accès |
Note
Pour garantir une expérience cohérente et réactive, pour les membres de l’organisation, les pages de la vue d’ensemble de la sécurité au niveau de l’organisation affichent uniquement les résultats des 3 000 référentiels les plus récemment mis à jour. Si vos résultats ont été restreints, une notification s’affiche en haut de la page. Les propriétaires de l’organisation et les gestionnaires de sécurité voient les résultats de tous les référentiels.
Pour plus d’informations sur l’accès aux alertes de sécurité et aux vues associées, voir « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » et « À propos des rôles de référentiel personnalisés ».
Vue d’ensemble au niveau de l’entreprise
Note
Si vous êtes propriétaire d’entreprise, vous devez rejoindre une organisation en tant que propriétaire d'organisation pour afficher les données des référentiels de l’organisation dans la vue d’ensemble au niveau de l’organisation et au niveau de l’entreprise. Seules les personnes disposant d’autorisations d’administrateur dans le référentiel contenant un secret divulgué peuvent afficher les détails de l’alerte de sécurité et les métadonnées de jeton pour une alerte. Les propriétaires d’entreprise peuvent demander un accès temporaire au référentiel à cet effet. Pour plus d’informations, consultez « Gestion de votre rôle dans une organisation appartenant à votre entreprise ».
Dans la vue d’ensemble de la sécurité au niveau de l’entreprise, vous pouvez voir les données de toutes les organisations où vous êtes un propriétaire d'organisation ou un responsable de la sécurité. Pour plus d’informations, consultez « Gestion des fonctionnalités GitHub Advanced Security pour votre entreprise ».
Si vous êtes propriétaire d'un entreprise avec utilisateurs managés, vous pouvez afficher les données des référentiels propres à l'utilisateur dans la vue d'ensemble de la sécurité et les filtrer par type de propriétaire de référentiel. Pour plus d’informations sur comptes d’utilisateur managés, consultez « À propos d’Enterprise Managed Users ».