Exploration des risques de sécurité dans votre code
Vous pouvez utiliser les différentes vues de votre onglet Sécurité pour explorer les risques de sécurité dans votre code.
- Vue d’ensemble : permet d’explorer les tendances en matière de Détection, de Correction et de Prévention des alertes de sécurité.
- Risque : permet d’explorer l’état actuel des référentiels, dans tous les types d’alertes.
- Vues des alertes : permet d’explorer les alertes code scanning, Dependabot, ou secret scanning plus en détail.
Ces vues vous fournissent les données et les filtres pour :
- évaluer le paysage de votre sécurité de code dans tous vos référentiels ;
- identifier les vulnérabilités à impact le plus élevé à résoudre ;
- surveiller votre progression dans la correction des vulnérabilités potentielles ; et
- exporter votre sélection actuelle de données pour une analyse et des rapports supplémentaires.
Pour plus d’informations sur la Vue d’ensemble, consultez Affichage des insights de sécurité.
Affichage des risques de sécurité du code au niveau de l’organisation
-
Sur GitHub, accédez à la page principale de l’organisation.
-
Sous le nom de votre organisation, cliquez sur Sécurité.
-
Pour afficher la vue « Risque de sécurité », dans la barre latérale, cliquez sur Risque.
-
Utilisez les options du résumé de la page pour filtrer les résultats afin d'afficher les référentiels que vous souhaitez évaluer. La liste des référentiels et des métriques affichés sur la page est automatiquement mise à jour en fonction de votre sélection actuelle. Pour plus d’informations sur le filtrage, voir « Filtrage des alertes dans la vue d’ensemble de la sécurité ».
- Utilisez le menu déroulant Équipes pour afficher des informations uniquement sur les dépôts appartenant à une ou plusieurs équipes.
- Cliquez sur NOMBRE affecté ou NOMBRE non affecté dans l’en-tête de n’importe quelle fonctionnalité alerte pour montrer uniquement les référentiels avec ou sans alertes ouvertes de ce type.
- Cliquez sur l’une des descriptions des « Alertes ouvertes » dans l’en-tête pour montrer uniquement les dépôts avec des alertes de ce type et de cette catégorie. Par exemple, 1 critique pour afficher le dépôt avec une alerte critique pour Dependabot.
- En haut de la liste des référentiels, cliquez sur NOMBRE archivés pour afficher uniquement les référentiels archivés.
- Cliquez dans la zone de recherche pour ajouter des filtres supplémentaires aux référentiels affichés.
Note
The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.
-
Si vous le souhaitez, utilisez la barre latérale sur la gauche pour explorer plus en détail les alertes d’une fonctionnalité de sécurité spécifique. Dans chaque page, vous pouvez utiliser des filtres propres à cette fonctionnalité pour affiner votre recherche. Pour plus d’informations sur les qualificateurs disponibles, consultez « Filtrage des alertes dans la vue d’ensemble de la sécurité ».
-
De manière facultative, utilisez le bouton Exporter le fichier CSV pour télécharger un fichier CSV des données actuellement affichées sur la page pour la recherche de sécurité et l’analyse approfondie des données. Pour plus d’informations, consultez « Exportation de données de la vue d’ensemble de la sécurité ».
Note
Les vues récapitulatives ( « Vue d’ensemble », « Couverture » et « Risque ») n’affichent des données que pour les alertes à confiance élevée par défaut. Les alertes Secret scanning pour les répertoires ignorés et les alertes non fournisseurs sont toutes omises à partir de ces vues. Par conséquent, les affichages d’alertes individuelles peuvent inclure un plus grand nombre d’alertes ouvertes et fermées.
Affichage des risques de sécurité du code au niveau de l’entreprise
Vous pouvez afficher des données concernant les alertes de sécurité entre les différentes organisations d’une entreprise.
Tip
Vous pouvez utiliser le filtre owner
dans le champ de recherche pour filtrer les données par organisation. Si vous êtes propriétaire d'un entreprise avec utilisateurs managés, vous pouvez utiliser le filtre owner-type
pour filtrer les données en fonction du type de propriétaire du référentiel, afin de visualiser les données des référentiels appartenant à l'organisation ou à l'utilisateur. Pour plus d’informations, consultez « Filtrage des alertes dans la vue d’ensemble de la sécurité ».
-
Navigate to GitHub Enterprise Cloud.
-
Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil, puis sur Vos entreprises.
-
Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher. 1. Sur le côté gauche de la page, dans la barre latérale du compte d’entreprise, cliquez sur Sécurité des codes.
-
Pour afficher la vue « Risque de sécurité », dans la barre latérale, cliquez sur Risque.
-
Utilisez les options du résumé de la page pour filtrer les résultats afin d'afficher les référentiels que vous souhaitez évaluer. La liste des référentiels et des métriques affichés sur la page est automatiquement mise à jour en fonction de votre sélection actuelle. Pour plus d’informations sur le filtrage, voir « Filtrage des alertes dans la vue d’ensemble de la sécurité ».
- Utilisez le menu déroulant Équipes pour afficher des informations uniquement sur les dépôts appartenant à une ou plusieurs équipes.
- Cliquez sur NOMBRE affecté ou NOMBRE non affecté dans l’en-tête de n’importe quelle fonctionnalité alerte pour montrer uniquement les référentiels avec ou sans alertes ouvertes de ce type.
- Cliquez sur l’une des descriptions des « Alertes ouvertes » dans l’en-tête pour montrer uniquement les dépôts avec des alertes de ce type et de cette catégorie. Par exemple, 1 critique pour afficher le dépôt avec une alerte critique pour Dependabot.
- En haut de la liste des référentiels, cliquez sur NOMBRE archivés pour afficher uniquement les référentiels archivés.
- Cliquez dans la zone de recherche pour ajouter des filtres supplémentaires aux référentiels affichés.
Note
The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.
-
Si vous le souhaitez, utilisez la barre latérale sur la gauche pour explorer plus en détail les alertes d’une fonctionnalité de sécurité spécifique. Dans chaque page, vous pouvez utiliser des filtres propres à cette fonctionnalité pour affiner votre recherche. Pour plus d’informations sur les qualificateurs disponibles, consultez « Filtrage des alertes dans la vue d’ensemble de la sécurité ».
-
De manière facultative, utilisez le bouton Exporter le fichier CSV pour télécharger un fichier CSV des données actuellement affichées sur la page pour la recherche de sécurité et l’analyse approfondie des données. Pour plus d’informations, consultez « Exportation de données de la vue d’ensemble de la sécurité ».
Note
Les vues récapitulatives ( « Vue d’ensemble », « Couverture » et « Risque ») n’affichent des données que pour les alertes à confiance élevée par défaut. Les alertes Secret scanning pour les répertoires ignorés et les alertes non fournisseurs sont toutes omises à partir de ces vues. Par conséquent, les affichages d’alertes individuelles peuvent inclure un plus grand nombre d’alertes ouvertes et fermées.
Étapes suivantes
Lorsque vous avez évalué les risques liés à la sécurité de votre code, vous êtes prêt à créer une campagne de sécurité pour collaborer avec les développeurs afin de remédier aux alertes. Pour plus d'informations sur la résolution des alertes de sécurité à grande échelle, consultez Création et suivi de campagnes de sécurité et Meilleures pratiques pour résoudre les alertes de sécurité à grande échelle.