Gestion des paramètres de sécurité et d’analyse pour votre dépôt

Vous pouvez contrôler les fonctionnalités qui sécurisent et analysent le code de votre projet sur GitHub.

Qui peut utiliser cette fonctionnalité ?

People with admin permissions to a repository can manage security and analysis settings for the repository.

Dans cet article

Note

Lorsque vous activez ou désactivez les Dependabot alerts au niveau de l’entreprise, cela remplace les paramètres au niveau du référentiel pour les Dependabot alerts. Pour plus d’informations, consultez « Configuration d’alertes Dependabot ».

À propos des paramètres de sécurité et d’analyse de votre référentiel

GitHub offre un certain nombre de fonctionnalités de sécurité différentes que vous pouvez activer pour votre référentiel afin de protéger votre code contre les vulnérabilités, l’accès non autorisé et d’autres menaces de sécurité potentielles. La plupart de ces fonctionnalités sont disponibles gratuitement pour les référentiels publics.

Activation ou désactivation des fonctionnalités de sécurité et d’analyse pour les dépôts publics

Vous pouvez gérer un sous-ensemble de fonctionnalités de sécurité et d’analyse pour les dépôts publics.

Au minimum, vous devez activer ce qui suit pour votre référentiel public :

  • Dependabot alerts vous avertit des failles de sécurité dans le réseau de dépendances de votre projet, afin que vous puissiez mettre à jour la dépendance concernée vers une version plus sécurisée.
  • Secret scanning analyse votre référentiel à la recherche de secrets (tels que les clés API et les jetons) et vous avertit si un secret est détecté, afin que vous puissiez le supprimer de votre référentiel.
  • Protection d’envoi (push) vous empêche (ainsi que vos collaborateurs) d'introduire des secrets dans le référentiel, en bloquant les envois contenant des secrets pris en charge.
  • Code scanning identifie les vulnérabilités et les erreurs dans le code de votre référentiel, afin que vous puissiez résoudre ces problèmes rapidement et empêcher qu’une vulnérabilité ou une erreur ne soit exploitée par des acteurs malveillants.

D’autres fonctionnalités sont activées en permanence pour les référentiels publics, comme le graphe des dépendances, qui affiche toutes les bibliothèques et tous les packages dont dépend votre référentiel.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Code security.

  4. Dans « Sécurité du code », à droite de la fonctionnalité, cliquez sur Désactiver ou Activer.

Activation ou désactivation des fonctionnalités de sécurité et d’analyse pour les dépôts privés

Vous pouvez gérer les fonctionnalités de sécurité et d’analyse de votre référentiel privé ou interne . Si votre entreprise ou organisation dispose d’une licence pour GitHub Advanced Security, des options supplémentaires sont disponibles. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Si vous activez les fonctionnalités de sécurité et d’analyse, GitHub effectue une analyse en lecture seule sur votre dépôt.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Code security.

  4. Dans « Sécurité du code », à droite de la fonctionnalité, cliquez sur Désactiver ou Activer. Le contrôle de « GitHub Advanced Security » est désactivé si votre entreprise n’a pas de licence disponible pour les fonctionnalités GitHub Advanced Security.

    Note

    Si vous désactivez GitHub Advanced Security, la vérification des dépendances, alertes d’analyse des secrets pour les utilisateurs et code scanning sont désactivées. Tous les workflows, les chargements SARIF ou les appels d’API pour code scanning échouent. Si GitHub Advanced Security est réactivé, code scanning reviendra à son état précédent.

Octroi de l’accès aux alertes de sécurité

Les alertes de sécurité GitHub sont des notifications automatiques qui vous informent lorsque des vulnérabilités sont détectées dans les dépendances ou le code de votre référentiel. Elles vous invitent à passer en revue et à corriger ces problèmes, ce qui contribue à la sécurité de votre projet.

Vous trouverez les alertes de sécurité de Dependabot, Secret scanning et Code scanning sous l’onglet Sécurité de votre référentiel.

Les alertes de sécurité d’un référentiel sont visibles par les personnes disposant d’un accès d’écriture, de maintenance et d’administrateur au référentiel et, lorsque le référentiel appartient à une organisation, propriétaires d’une organisation. Vous pouvez donner aux équipes et aux personnes supplémentaires l’accès aux alertes.

Note

Les propriétaires d’organisations et les administrateurs de référentiels peuvent accorder uniquement l’accès permettant d’afficher les alertes de sécurité, comme les alertes Alertes d’analyse de secrets, aux personnes ou aux équipes qui disposent d’un accès en écriture au référentiel.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Code security.

  4. Sous « Accès aux alertes », dans le champ de recherche, commencez à taper le nom de la personne ou de l’équipe que vous souhaitez trouver, puis cliquez sur un nom dans la liste des correspondances.

  5. Cliquez sur Save changes.

Suppression de l’accès aux alertes de sécurité

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Code security.

  4. Sous « Accéder aux alertes », à droite de la personne ou de l’équipe dont vous souhaitez supprimer l’accès, cliquez sur .

    Capture d'écran de la liste des utilisateurs ayant accès aux alertes. À droite de @octocat, une icône x est indiquée en orange foncé.

  5. Cliquez sur Save changes.

Pour aller plus loin