À propos de GitHub Advanced Security
GitHub a de nombreuses fonctionnalités qui vous aident à améliorer et gérer la qualité de votre code. Certaines d’entre elles sont comprises dans tous les plans, comme le graphe des dépendances et les Dependabot alerts. D’autres fonctionnalités de sécurité nécessitent une licence GitHub Advanced Security (GHAS) pour s’exécuter sur des dépôts autres que des dépôts publics sur GitHub.com.
Pour plus d’informations sur l’achat d’une licence pour GitHub Advanced Security, consultez « Inscription à GitHub Advanced Security. »
Pour plus d’informations sur la façon dont vous pouvez essayer GitHub Advanced Security gratuitement, consultez « Configuration d’un essai de GitHub Advanced Security ».
Remarque : Si vous souhaitez utiliser GitHub Advanced Security avec Azure Repos, consultez GitHub Advanced Security et Azure DevOps dans notre site de ressources. Pour obtenir de la documentation, consultez Configurer GitHub Advanced Security for Azure DevOps dans Microsoft Learn.
À propos des fonctionnalités Advanced Security
Une licence GitHub Advanced Security fournit les fonctionnalités supplémentaires suivantes :
-
Code scanning : recherchez les vulnérabilités de sécurité potentielles et les erreurs de codage dans votre code. Pour plus d’informations, consultez « À propos de l’analyse du code ».
-
Secret scanning : détectez les secrets, par exemple des clés et des jetons, qui ont été archivés dans le dépôt. Si la protection des envois est activée, détecte également les secrets quand ils sont envoyés à votre dépôt. Pour plus d’informations, consultez « À propos de l’analyse des secrets » et « Protection des poussées pour les référentiels et les organisations ».
-
Révision des dépendances : montrez l’impact complet des changements de dépendances et consultez les détails des versions vulnérables avant de fusionner une demande de tirage. Pour plus d’informations, consultez « À propos de la vérification des dépendances ».
Le tableau ci-dessous récapitule la disponibilité des fonctionnalités GitHub Advanced Security pour les dépôts publics et privés.
Dépôt public | Dépôt privé sans Advanced Security | Dépôt privé avec Advanced Security | |
---|---|---|---|
Analyse du code | |||
Analyse de secrets | |||
Vérification des dépendances |
Pour plus d’informations sur les fonctionnalités Advanced Security en développement, consultez « Feuille de route publique de GitHub ». Pour obtenir une vue d’ensemble des fonctionnalités de sécurité, consultez « Fonctionnalités de sécurité de GitHub ».
Les fonctionnalités GitHub Advanced Security sont activées pour tous les référentiels publics sur GitHub.com. Les organisations qui utilisent GitHub Enterprise Cloud avec Advanced Security peuvent également les activer pour les dépôts privés et internes.
Déploiement de GitHub Advanced Security dans votre entreprise
Pour plus d’informations sur ce que vous devez savoir afin de planifier votre déploiement de GitHub Advanced Security à un niveau global, consultez « Adoption de GitHub Advanced Security à grande échelle ».
Activation des fonctionnalités Advanced Security
Pour les dépôts publics, ces fonctionnalités sont activées définitivement et peuvent être désactivées seulement si vous changez la visibilité du projet pour que le code ne soit plus public.
Pour les autres dépôts, une fois que vous avez une licence pour votre compte d’entreprise, vous pouvez activer et désactiver ces fonctionnalités au niveau de l’organisation ou du dépôt. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre organisation » et « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ».
Si vous avez un compte d’entreprise, l’utilisation de la licence pour l’ensemble de l’entreprise s’affiche dans votre page de licence d’entreprise. Pour plus d’informations, consultez « Affichage de votre utilisation de GitHub Advanced Security ».
À propos des workflows de démarrage pour Advanced Security
Remarque : Les workflows de démarrage pour Advanced Security ont été regroupés dans une catégorie « Sécurité » sous l’onglet Actions d’un dépôt. Cette nouvelle configuration est actuellement en version bêta et susceptible d’être modifiée.
Pour plus d’informations sur les workflows de démarrage, consultez « Définition de la configuration avancée pour l’analyse du code » et « Utilisation de workflows de démarrage ».