Gestion des paramètres de sécurité et d'analyse pour votre organisation

Vous pouvez contrôler les fonctionnalités qui sécurisent et analysent le code des projets de votre organisation sur GitHub.

Qui peut utiliser cette fonctionnalité ?

Organization owners can manage security and analysis settings for repositories in the organization.

Dans cet article

À propos de la gestion des paramètres de sécurité et d'analyse

GitHub peut vous aider à sécuriser les dépôts dans votre organisation. Vous pouvez gérer les fonctionnalités de sécurité et d'analyse pour tous les dépôts existants ou nouveaux que les membres créent dans votre organisation. Si vous disposez d’une licence pour GitHub Secret Protection or GitHub Code Security, vous pouvez également gérer l’accès à ces fonctionnalités. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Remarque

Vous ne pouvez pas désactiver certaines fonctions de sécurité et d'analyse qui sont activées par défaut pour les dépôts publics.

Vous pouvez rapidement activer les fonctionnalités de sécurité à grande échelle avec the GitHub-recommended security configuration, une collection de paramètres d’activation de sécurité que vous pouvez appliquer aux référentiels d’une organisation. Vous pouvez ensuite personnaliser davantage les fonctionnalités de Advanced Security au niveau de l’organisation avec global settings. Consultez À propos de l'activation des fonctionnalités de sécurité à grande échelle.

Si vous activez les fonctionnalités de sécurité et d’analyse, GitHub effectue une analyse en lecture seule sur votre dépôt.

Autoriser Dependabot à accéder aux dépendances privées ou internes

Dependabot peut vérifier les références de dépendance obsolètes dans un projet et générer automatiquement une demande de tirage pour les mettre à jour. Pour cela, Dependabot doit avoir accès à tous les fichiers de dépendance ciblés. En règle générale, les mises à jour de version échouent si une ou plusieurs dépendances sont inaccessibles. Pour plus d’informations, consultez « À propos des mises à jour de version Dependabot ».

Par défaut, Dependabot ne peut pas mettre à jour les dépendances qui sont situées dans des dépôts privés ou internes, ou des registres de paquets privés ou internes. Cependant, si une dépendance se trouve dans un dépôt privé ou interne GitHub dans la même organisation que le projet qui utilise cette dépendance, vous pouvez permettre à Dependabot de mettre à jour la version avec succès en lui donnant accès au référentiel hôte.

Si votre code dépend de packages dans un registre privé ou interne, vous pouvez autoriser Dependabot à mettre à jour les versions de ces dépendances en configurant cela au niveau du référentiel. Pour cela, ajoutez des détails d'authentification au fichier dependabot.yml pour le dépôt. Pour plus d’informations, consultez Clé registries de niveau supérieur.

Remarque

Pour que l'option permettant d'accorder à Dependabot l'accès aux référentiels privés ou internes soit disponible, il faut que Dependabot version updates ou Dependabot security updates soit activée sur au moins un référentiel au sein de l'organisation.

Pour plus d'informations sur la manière d'octroyer à Dependabot l'accès aux dépendances privées ou internes, consultez Configuration des paramètres de sécurité globaux pour votre organisation.

Suppression de l’accès aux fonctionnalités GitHub Advanced Security des référentiels individuels d’une organisation

Vous pouvez utiliser security configurations pour supprimer l’accès aux fonctionnalités de GitHub Advanced Security depuis des référentiels individuels au sein d’une organisation. Pour plus d’informations, consultez « Gestion de l’utilisation payante de Advanced Security ».

Pour aller plus loin