Évaluation de l'adoption des fonctionnalités de sécurité du code

Dans cet article

Vous pouvez utiliser la vue d'ensemble de la sécurité pour voir quelles équipes et quels référentiels ont déjà activé les fonctionnalités de sécurité du code, et identifier ceux qui ne sont pas encore protégés.

Qui peut utiliser cette fonctionnalité

La vue d’ensemble de la sécurité d’une organisation est disponible pour tous les membres de cette organisation. Les vues et les données affichées sont déterminées par votre rôle dans l'organisation et par vos autorisations pour les référentiels individuels au sein de l'organisation. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ».

La vue d'ensemble de la sécurité d'une entreprise présente aux propriétaires d'organisation et aux gestionnaires de sécurité les données de l’organisation auxquelles ils ont accès. Les propriétaires d’entreprise peuvent uniquement afficher les données pour les organisations où ils sont ajoutés en tant que propriétaire d’organisation ou gestionnaire de sécurité. Pour plus d’informations, consultez « Gestion de votre rôle dans une organisation appartenant à votre entreprise ».

Toutes les entreprises et leurs organisations ont une vue d’ensemble de la sécurité. Si vous utilisez des fonctionnalités GitHub Advanced Security qui sont gratuites pour les référentiels publics, vous verrez des informations supplémentaires. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

À propos de l’adoption des fonctionnalités de sécurité du code

Vous pouvez utiliser la vue d'ensemble de la sécurité pour voir quels référentiels et quelles équipes ont déjà activé chaque fonctionnalité de sécurité du code, et où les utilisateurs doivent être davantage incités à adopter ces fonctionnalités. La vue « Couverture de sécurité » présente un résumé et des informations détaillées sur l’activation des fonctionnalités pour une organisation. Vous pouvez filtrer la vue pour afficher un sous-ensemble de référentiels en utilisant les liens « activé » et « non activé », le menu déroulant « Équipes » et un champ de recherche dans l'en-tête de la page.

Capture d’écran de la section d’en-tête de la vue « Couverture de sécurité » sous l’onglet « Sécurité » d’une organisation. Les options de filtrage sont indiquées en orange foncé, y compris les liens « activé » et « non activé », le sélecteur « Équipes » et le champ de recherche.

Vous pouvez télécharger un fichier CSV des données affichées sur la page « Couverture de sécurité ». Ce fichier de données peut être utilisé pour des activités comme la recherche en matière de sécurité et l'analyse approfondie des données, et peut s'intégrer facilement à des ensembles de données externes. Pour plus d’informations, consultez « Exportation des données des pages de risque et de couverture ».

Affichage de l'activation des fonctionnalités de sécurité du code pour une organisation

Les informations indiquées par vue d’ensemble de la sécurité varient en fonction de votre accès aux référentiels et aux organisations, et selon que GitHub Advanced Security est utilisé par ces référentiels et les organisations. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ».

Dans la liste des référentiels, l’étiquette Suspendu sous Dependabot indique les référentiels pour lesquels les Dependabot updates sont suspendues. Pour plus d’informations sur les critères d’inactivité, consultez « À propos des mises à jour de sécurité Dependabot » et « À propos des mises à jour de version Dependabot » pour les mises à jour de sécurité et de version, respectivement.

  1. Sur GitHub.com, accédez à la page principale de l’organisation.

  2. Sous le nom de votre organisation, cliquez sur Sécurité.

    Capture d’écran de la barre de navigation horizontale d’une organisation. Un onglet, avec une icône de bouclier et le texte « Sécurité », est mis en évidence avec un encadré orange foncé.

  3. Pour afficher la vue « Couverture de la sécurité », dans la barre latérale, cliquez sur Couverture.

  4. Utilisez les options du résumé de la page pour filtrer les résultats afin d'afficher les référentiels que vous souhaitez évaluer. La liste des référentiels et des métriques affichés sur la page est automatiquement mise à jour en fonction de votre sélection actuelle. Pour plus d’informations sur le filtrage, voir « Filtrage des alertes dans la vue d’ensemble de la sécurité ».

    • Utilisez le menu déroulant Équipes pour afficher des informations uniquement sur les dépôts appartenant à une ou plusieurs équipes. Pour plus d’informations, consultez « Gestion de l’accès de l’équipe à un dépôt de l’organisation ».
    • Cliquez sur NOMBRE activé ou NOMBRE non activé dans l’en-tête pour qu’une fonctionnalité affiche uniquement les dépôts avec cette fonctionnalité activée ou non activée.
    • En haut de la liste des référentiels, cliquez sur NOMBRE archivés pour afficher uniquement les référentiels archivés.
    • Cliquez dans la zone de recherche pour ajouter des filtres supplémentaires aux référentiels affichés.

    Capture d’écran de la section d’en-tête de la vue « Couverture de sécurité » sous l’onglet « Sécurité » d’une organisation. Les options de filtrage sont indiquées en orange foncé, y compris les liens « activé » et « non activé », le sélecteur « Équipes », les référentiels archivés, et le champ de recherche.

  5. Vous pouvez également cliquer sur Paramètres de sécurité pour activer les fonctionnalités de sécurité du code d’un référentiel, puis cliquer sur Enregistrer les paramètres de sécurité pour confirmer les modifications. Si une fonctionnalité n'est pas affichée, cela signifie que sa configuration est plus complexe et que vous devez utiliser la boîte de dialogue des paramètres du référentiel. Pour plus d’informations, consultez « Sécurisation de votre dépôt ».

  6. Si vous le souhaitez, sélectionnez une partie ou l’ensemble des dépôts qui correspondent à votre recherche actuelle, puis cliquez sur Paramètres de sécurité dans l’en-tête du tableau pour afficher un panneau latéral où vous pouvez activer les fonctionnalités de sécurité pour les dépôts sélectionnés. Lorsque vous avez terminé, cliquez sur Appliquer les changements pour confirmer les changements. Pour plus d’informations, consultez « Activation des fonctionnalités de sécurité pour plusieurs dépôts ».

Remarque : Pour les paramètres d’activation uniques et multiples, l’activation de l’code scanning va remplacer toutes les configurations de l’code scanning existantes pour les dépôts sélectionnés, y compris les sélections de suite de requêtes et les flux de travail précédents pour les configurations avancées.

Affichage de l'activation des fonctionnalités de sécurité du code pour une entreprise

Vous pouvez afficher les données pour évaluer l’activation des fonctionnalités de sécurité du code dans les organisations d’une entreprise. Les informations indiquées par vue d’ensemble de la sécurité varient en fonction de votre accès aux référentiels et aux organisations, et selon que GitHub Advanced Security est utilisé par ces référentiels et les organisations. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ».

Dans la vue au niveau de l’entreprise, vous pouvez afficher des données sur l’activation des fonctionnalités, mais vous ne pouvez pas activer ou désactiver des fonctionnalités. Pour plus d’informations sur l’activation des fonctionnalités, consultez « Activation des fonctionnalités de sécurité pour plusieurs dépôts ».

Conseil : vous pouvez utiliser le filtre org: dans le champ de recherche pour filtrer les données par organisation. Pour plus d’informations, consultez « Filtrage des alertes dans la vue d’ensemble de la sécurité ».

  1. Accédez à GitHub.com.

  2. En haut à droite de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

  3. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

  4. Dans la barre latérale gauche, cliquez sur Sécurité du code.

  5. Pour afficher la vue « Couverture de la sécurité », dans la barre latérale, cliquez sur Couverture.

  6. Utilisez les options du résumé de la page pour filtrer les résultats afin d'afficher les référentiels que vous souhaitez évaluer. La liste des référentiels et des métriques affichés sur la page est automatiquement mise à jour en fonction de votre sélection actuelle. Pour plus d’informations sur le filtrage, voir « Filtrage des alertes dans la vue d’ensemble de la sécurité ».

    • Utilisez le menu déroulant Équipes pour afficher des informations uniquement sur les dépôts appartenant à une ou plusieurs équipes. Pour plus d’informations, consultez « Gestion de l’accès de l’équipe à un dépôt de l’organisation ».
    • Cliquez sur NOMBRE activé ou NOMBRE non activé dans l’en-tête pour qu’une fonctionnalité affiche uniquement les dépôts avec cette fonctionnalité activée ou non activée.
    • En haut de la liste des référentiels, cliquez sur NOMBRE archivés pour afficher uniquement les référentiels archivés.
    • Cliquez dans la zone de recherche pour ajouter des filtres supplémentaires aux référentiels affichés.

    Capture d’écran de la section d’en-tête de la vue « Couverture de sécurité » pour une entreprise. Les options de filtrage sont indiquées en orange foncé, y compris les liens « activé » et « non activé », le sélecteur « Équipes », les référentiels archivés, et le champ de recherche.

Interpréter les données d'activation et agir en conséquence

Certaines fonctionnalités de sécurité du code peuvent et doivent être activées sur tous les référentiels. Par exemple, les Alertes d’analyse de secrets et la protection push. Ces caractéristiques réduisent le risque de fuite de sécurité, quelles que soient les informations stockées dans le référentiel. Si vous constatez que des référentiels n'utilisent pas encore ces fonctionnalités, vous devez les activer ou discuter d’un plan d'activation avec l'équipe propriétaire du référentiel. Pour plus d'informations sur l'activation des fonctionnalités pour l'ensemble d'une organisation, voir « Gestion des paramètres de sécurité et d’analyse pour votre organisation ».

Certaines fonctionnalités ne sont pas disponibles dans tous les référentiels. Par exemple, il ne servirait à rien d’activer Dependabot ou code scanning pour les référentiels qui n’utilisent que des écosystèmes ou des langages non pris en charge. Il est donc normal que ces fonctionnalités ne soient pas activées pour certains référentiels.

Votre entreprise peut également avoir configuré des stratégies visant à limiter l'utilisation de certaines fonctionnalités de sécurité du code. Pour plus d’informations, consultez « Application de stratégies de sécurité et d’analyse du code pour votre entreprise ».