Skip to main content

Évaluation des risques liés à la sécurité de votre code

Vous pouvez utiliser la vue d'ensemble de la sécurité pour voir quelles équipes et quels référentiels sont concernés par les alertes de sécurité, et identifier les référentiels devant faire l'objet d'une action corrective urgente.

Qui peut utiliser cette fonctionnalité ?

La vue d’ensemble de la sécurité d’une organisation est disponible pour tous les membres de cette organisation. Les vues et les données affichées sont déterminées par votre rôle dans l'organisation et par vos autorisations pour les référentiels individuels au sein de l'organisation. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ».

La vue d'ensemble de la sécurité d'une entreprise présente aux propriétaires d'organisation et aux gestionnaires de sécurité les données de l’organisation auxquelles ils ont accès. Les propriétaires d’entreprise peuvent uniquement afficher les données pour les organisations où ils sont ajoutés en tant que propriétaire d’organisation ou gestionnaire de sécurité. Pour plus d’informations, consultez « Gestion de votre rôle dans une organisation appartenant à votre entreprise ».

Toutes les entreprises et leurs organisations ont une vue d’ensemble de la sécurité. Si vous utilisez des caractéristiques GitHub Advanced Security qui sont gratuites pour les référentiels publics, vous verrez des informations supplémentaires. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

À propos des risques de sécurité dans votre code

Vous pouvez utiliser la vue d'ensemble de la sécurité pour voir quels référentiels et quelles équipes sont exempts d'alertes de sécurité et lesquels comportent des alertes de sécurité non résolues. La page « Risque de sécurité » présente un résumé et des informations détaillées sur les référentiels d'une organisation ou entreprise sont concernés par des alertes de sécurité, avec une répartition des alertes par gravité. Vous pouvez filtrer la vue pour afficher un sous-ensemble de référentiels en utilisant les liens « affecté » et « non affecté », les liens sous « Alertes ouvertes », le menu déroulant « Équipes », et un champ de recherche dans l'en-tête de la page. Cette vue est un excellent moyen de connaître la situation globale d'un référentiel, d'une équipe ou d'un groupe de référentiels, car vous pouvez voir tous les types d’alertes de sécurité dans une seule et même vue.

Capture d’écran de la section d’en-tête de la vue « Risque de sécurité » sous l’onglet « Sécurité » d’une organisation. Les options de filtrage sont indiquées en orange foncé, y compris les liens « affecté »/« non affecté », le sélecteur « Équipes » et le champ de recherche.

Vous pouvez télécharger un fichier CSV des données affichées sur la page « Risque de sécurité ». Ce fichier de données peut être utilisé pour des activités comme la recherche en matière de sécurité et l'analyse approfondie des données, et peut s'intégrer facilement à des ensembles de données externes. Pour plus d’informations, consultez « Exportation des données des pages de risque et de couverture ».

Remarque : il est important de comprendre que tous les référentiels sans alertes ouvertes sont inclus dans l'ensemble des référentiels non affectés. En d'autres termes, les référentiels non affectés incluent tous les référentiels dans lesquels la fonctionnalité n'est pas activée, en plus des référentiels qui ont été analysés et dont les alertes identifiées ont été clôturées.

Affichage des risques de sécurité du code au niveau de l’organisation

Les informations indiquées par vue d’ensemble de la sécurité varient en fonction de votre accès aux référentiels et aux organisations, et selon que GitHub Advanced Security est utilisé par ces référentiels et les organisations. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ».

  1. Sur GitHub.com, accédez à la page principale de l’organisation.

  2. Sous le nom de votre organisation, cliquez sur Sécurité.

    Capture d’écran de la barre de navigation horizontale d’une organisation. Un onglet, avec une icône de bouclier et le texte « Sécurité », est mis en évidence avec un encadré orange foncé.

  3. Pour afficher la vue « Risque de sécurité », dans la barre latérale, cliquez sur Risque.

  4. Utilisez les options du résumé de la page pour filtrer les résultats afin d'afficher les référentiels que vous souhaitez évaluer. La liste des référentiels et des métriques affichés sur la page est automatiquement mise à jour en fonction de votre sélection actuelle. Pour plus d’informations sur le filtrage, voir « Filtrage des alertes dans la vue d’ensemble de la sécurité ».

    • Utilisez le menu déroulant Équipes pour afficher des informations uniquement sur les dépôts appartenant à une ou plusieurs équipes.
    • Cliquez sur NOMBRE affecté ou NOMBRE non affecté dans l’en-tête de n’importe quelle fonctionnalité alerte pour montrer uniquement les référentiels avec ou sans alertes ouvertes de ce type.
    • Cliquez sur l’une des descriptions des « Alertes ouvertes » dans l’en-tête pour montrer uniquement les dépôts avec des alertes de ce type et de cette catégorie. Par exemple, 1 critique pour afficher le dépôt avec une alerte critique pour Dependabot.
    • En haut de la liste des référentiels, cliquez sur NOMBRE archivés pour afficher uniquement les référentiels archivés.
    • Cliquez dans la zone de recherche pour ajouter des filtres supplémentaires aux référentiels affichés.

    Capture d’écran de la section d’en-tête de la vue « Risque de sécurité » sous l’onglet « Sécurité » d’une organisation. Les options de filtrage sont indiquées en orange foncé, y compris les liens « affecté »/« non affecté », les liens de gravité d'alerte, le sélecteur « Équipes », les référentiels archivés, et le champ de recherche.

  5. Si vous le souhaitez, utilisez la barre latérale sur la gauche pour explorer plus en détail les alertes d’une fonctionnalité de sécurité spécifique. Dans chaque page, vous pouvez utiliser des filtres propres à cette fonctionnalité pour affiner votre recherche. Pour plus d’informations sur les qualificateurs disponibles, consultez « Filtrage des alertes dans la vue d’ensemble de la sécurité ».

Note: The summary views ("Overview", "Coverage" and "Risk") show data only for high confidence alerts. Code scanning alerts from third-party tools, and secret scanning alerts for ignored directories and non-provider alerts are all omitted from these views. Consequently, the individual alert views may include a larger number of open and closed alerts.

Affichage des risques de sécurité du code au niveau de l’entreprise

Vous pouvez afficher des données concernant les alertes de sécurité entre les différentes organisations d’une entreprise. Les informations indiquées par vue d’ensemble de la sécurité varient en fonction de votre accès aux référentiels et aux organisations, et selon que GitHub Advanced Security est utilisé par ces référentiels et les organisations. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ».

Conseil : vous pouvez utiliser le filtre org: dans le champ de recherche pour filtrer les données par organisation. Pour plus d’informations, consultez « Filtrage des alertes dans la vue d’ensemble de la sécurité ».

  1. Accédez à GitHub.com.

  2. En haut à droite de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

  3. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

  4. Dans la barre latérale gauche, cliquez sur Sécurité du code.

  5. Pour afficher la vue « Couverture de la sécurité », dans la barre latérale, cliquez sur Risque.

  6. Utilisez les options du résumé de la page pour filtrer les résultats afin d'afficher les référentiels que vous souhaitez évaluer. La liste des référentiels et des métriques affichés sur la page est automatiquement mise à jour en fonction de votre sélection actuelle. Pour plus d’informations sur le filtrage, voir « Filtrage des alertes dans la vue d’ensemble de la sécurité ».

    • Utilisez le menu déroulant Équipes pour afficher des informations uniquement sur les dépôts appartenant à une ou plusieurs équipes.
    • Cliquez sur NOMBRE affecté ou NOMBRE non affecté dans l’en-tête de n’importe quelle fonctionnalité alerte pour montrer uniquement les référentiels avec ou sans alertes ouvertes de ce type.
    • Cliquez sur l’une des descriptions des « Alertes ouvertes » dans l’en-tête pour montrer uniquement les dépôts avec des alertes de ce type et de cette catégorie. Par exemple, 1 critique pour afficher le dépôt avec une alerte critique pour Dependabot.
    • En haut de la liste des référentiels, cliquez sur NOMBRE archivés pour afficher uniquement les référentiels archivés.
    • Cliquez dans la zone de recherche pour ajouter des filtres supplémentaires aux référentiels affichés.

    Capture d’écran de la vue « Risque de sécurité » pour une entreprise. Les options de filtrage sont indiquées en orange foncé, y compris les liens « affectés »/« non affectés », les liens de gravité d’alerte, le sélecteur « Teams », les référentiels archivés et le champ de recherche.

Note: The summary views ("Overview", "Coverage" and "Risk") show data only for high confidence alerts. Code scanning alerts from third-party tools, and secret scanning alerts for ignored directories and non-provider alerts are all omitted from these views. Consequently, the individual alert views may include a larger number of open and closed alerts.