Skip to main content

Évaluation des risques liés à la sécurité de votre code

Vous pouvez utiliser la vue d'ensemble de la sécurité pour voir quelles équipes et quels référentiels sont concernés par les alertes de sécurité, et identifier les référentiels devant faire l'objet d'une action corrective urgente.

Qui peut utiliser cette fonctionnalité ?

L’accès nécessite :

  • Vues de l’organisation : accès en écriture aux référentiels de l’organisation
  • Vues d’entreprise : propriétaires et responsables de la sécurité de l’organisation

Exploration des risques de sécurité dans votre code

Vous pouvez utiliser les différentes vues de votre onglet Sécurité pour explorer les risques de sécurité dans votre code.

  • Vue d’ensemble : permet d’explorer les tendances en matière de Détection, de Correction et de Prévention des alertes de sécurité.
  • Risque : permet d’explorer l’état actuel des référentiels, dans tous les types d’alertes.
  • Vues des alertes : permet d’explorer les alertes code scanning, Dependabot, ou secret scanning plus en détail.

Ces vues vous fournissent les données et les filtres pour :

  • évaluer le paysage de votre sécurité de code dans tous vos référentiels ;
  • identifier les vulnérabilités à impact le plus élevé à résoudre ;
  • surveiller votre progression dans la correction des vulnérabilités potentielles ; et
  • exporter votre sélection actuelle de données pour une analyse et des rapports supplémentaires.

Pour plus d’informations sur la vue d’ensemble, consultez « Affichage des insights de sécurité. »

Affichage des risques de sécurité du code au niveau de l’organisation

  1. Sur GitHub, accédez à la page principale de l’organisation.

  2. Sous le nom de votre organisation, cliquez sur Sécurité.

    Capture d’écran de la barre de navigation horizontale d’une organisation. Un onglet, avec une icône de bouclier et le texte « Sécurité », est mis en évidence avec un encadré orange foncé.

  3. Pour afficher la vue « Risque de sécurité », dans la barre latérale, cliquez sur Risque.

  4. Utilisez les options du résumé de la page pour filtrer les résultats afin d'afficher les référentiels que vous souhaitez évaluer. La liste des référentiels et des métriques affichés sur la page est automatiquement mise à jour en fonction de votre sélection actuelle. Pour plus d’informations sur le filtrage, voir « Filtrage des alertes dans la vue d’ensemble de la sécurité ».

    • Utilisez le menu déroulant Équipes pour afficher des informations uniquement sur les dépôts appartenant à une ou plusieurs équipes.
    • Cliquez sur NOMBRE affecté ou NOMBRE non affecté dans l’en-tête de n’importe quelle fonctionnalité alerte pour montrer uniquement les référentiels avec ou sans alertes ouvertes de ce type.
    • Cliquez sur l’une des descriptions des « Alertes ouvertes » dans l’en-tête pour montrer uniquement les dépôts avec des alertes de ce type et de cette catégorie. Par exemple, 1 critique pour afficher le dépôt avec une alerte critique pour Dependabot.
    • En haut de la liste des référentiels, cliquez sur NOMBRE archivés pour afficher uniquement les référentiels archivés.
    • Cliquez dans la zone de recherche pour ajouter des filtres supplémentaires aux référentiels affichés.

    Capture d’écran de la vue « Risque de sécurité » pour une organisation Les options de filtre sont indiquées en orange foncé.

    Note

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  5. Si vous le souhaitez, utilisez la barre latérale sur la gauche pour explorer plus en détail les alertes d’une fonctionnalité de sécurité spécifique. Dans chaque page, vous pouvez utiliser des filtres propres à cette fonctionnalité pour affiner votre recherche. Pour plus d’informations sur les qualificateurs disponibles, consultez « Filtrage des alertes dans la vue d’ensemble de la sécurité ».

  6. De manière facultative, utilisez le bouton Exporter le fichier CSV pour télécharger un fichier CSV des données actuellement affichées sur la page pour la recherche de sécurité et l’analyse approfondie des données. Pour plus d’informations, consultez « Exportation de données de la vue d’ensemble de la sécurité ».

Note

Les vues récapitulatives ( « Vue d’ensemble », « Couverture » et « Risque ») n’affichent des données que pour les alertes à confiance élevée par défaut. Les alertes Secret scanning pour les répertoires ignorés et les alertes non fournisseurs sont toutes omises à partir de ces vues. Par conséquent, les affichages d’alertes individuelles peuvent inclure un plus grand nombre d’alertes ouvertes et fermées.

Affichage des risques de sécurité du code au niveau de l’entreprise

Vous pouvez afficher des données concernant les alertes de sécurité entre les différentes organisations d’une entreprise.

Tip

Vous pouvez utiliser le filtre owner dans le champ de recherche pour filtrer les données par organisation. Si vous êtes propriétaire d'un entreprise avec utilisateurs managés, vous pouvez utiliser le filtre owner-type pour filtrer les données en fonction du type de propriétaire du référentiel, afin de visualiser les données des référentiels appartenant à l'organisation ou à l'utilisateur. Pour plus d’informations, consultez « Filtrage des alertes dans la vue d’ensemble de la sécurité ».

  1. Navigate to GitHub Enterprise Cloud.

  2. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil, puis sur Vos entreprises.

  3. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

  4. Sur le côté gauche de la page, dans la barre latérale du compte d’entreprise, cliquez sur Sécurité des codes.

  5. Pour afficher la vue « Risque de sécurité », dans la barre latérale, cliquez sur Risque.

  6. Utilisez les options du résumé de la page pour filtrer les résultats afin d'afficher les référentiels que vous souhaitez évaluer. La liste des référentiels et des métriques affichés sur la page est automatiquement mise à jour en fonction de votre sélection actuelle. Pour plus d’informations sur le filtrage, voir « Filtrage des alertes dans la vue d’ensemble de la sécurité ».

    • Utilisez le menu déroulant Équipes pour afficher des informations uniquement sur les dépôts appartenant à une ou plusieurs équipes.
    • Cliquez sur NOMBRE affecté ou NOMBRE non affecté dans l’en-tête de n’importe quelle fonctionnalité alerte pour montrer uniquement les référentiels avec ou sans alertes ouvertes de ce type.
    • Cliquez sur l’une des descriptions des « Alertes ouvertes » dans l’en-tête pour montrer uniquement les dépôts avec des alertes de ce type et de cette catégorie. Par exemple, 1 critique pour afficher le dépôt avec une alerte critique pour Dependabot.
    • En haut de la liste des référentiels, cliquez sur NOMBRE archivés pour afficher uniquement les référentiels archivés.
    • Cliquez dans la zone de recherche pour ajouter des filtres supplémentaires aux référentiels affichés.

    Capture d’écran de la vue « Risque de sécurité » pour une entreprise. Les options de filtre sont indiquées en orange foncé.

    Note

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  7. Si vous le souhaitez, utilisez la barre latérale sur la gauche pour explorer plus en détail les alertes d’une fonctionnalité de sécurité spécifique. Dans chaque page, vous pouvez utiliser des filtres propres à cette fonctionnalité pour affiner votre recherche. Pour plus d’informations sur les qualificateurs disponibles, consultez « Filtrage des alertes dans la vue d’ensemble de la sécurité ».

Note

Les vues récapitulatives ( « Vue d’ensemble », « Couverture » et « Risque ») n’affichent des données que pour les alertes à confiance élevée par défaut. Les alertes Secret scanning pour les répertoires ignorés et les alertes non fournisseurs sont toutes omises à partir de ces vues. Par conséquent, les affichages d’alertes individuelles peuvent inclure un plus grand nombre d’alertes ouvertes et fermées.

Étapes suivantes

Lorsque vous avez évalué les risques liés à la sécurité de votre code, vous êtes prêt à créer une campagne de sécurité pour collaborer avec les développeurs afin de remédier aux alertes. Pour plus d'informations sur la résolution des alertes de sécurité à grande échelle, voir «Création et suivi de campagnes de sécurité» et «Meilleures pratiques pour résoudre les alertes de sécurité à grande échelle».