Gestion des paramètres de sécurité et d’analyse pour votre dépôt

Dans cet article

Vous pouvez contrôler les fonctionnalités qui sécurisent et analysent le code de votre projet sur GitHub.

Qui peut utiliser cette fonctionnalité

People with admin permissions to a repository can manage security and analysis settings for the repository.

Remarque : Lorsque vous activez ou désactivez les Dependabot alerts au niveau de l’entreprise, cela remplace les paramètres au niveau du dépôt pour les Dependabot alerts. Pour plus d’informations, consultez « Configuration d’alertes Dependabot ».

Activation ou désactivation des fonctionnalités de sécurité et d’analyse pour les dépôts publics

Vous pouvez gérer un sous-ensemble de fonctionnalités de sécurité et d’analyse pour les dépôts publics. D’autres fonctionnalités sont activées définitivement, notamment l’analyse du graphique de dépendance et alertes d’analyse des secrets pour les partenaires.

  1. Dans GitHub.com, accédez à la page principale du dépôt.
  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres. Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.
  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.
  4. Sous « Sécurité et analyse du code », à droite de la fonctionnalité, cliquez sur Désactiver ou Activer.

Activation ou désactivation des fonctionnalités de sécurité et d’analyse pour les dépôts privés

Vous pouvez gérer les fonctionnalités de sécurité et d’analyse de votre dépôt privé ou interne . Si votre organisation appartient à une entreprise avec une licence pour GitHub Advanced Security , les options supplémentaires sont disponibles. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Si vous activez les fonctionnalités de sécurité et d’analyse, GitHub effectue une analyse en lecture seule sur votre dépôt.

  1. Dans GitHub.com, accédez à la page principale du dépôt.

  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres. Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  4. Sous « Sécurité et analyse du code », à droite de la fonctionnalité, cliquez sur Désactiver ou Activer. Le contrôle de "GitHub Advanced Security" est désactivé si votre entreprise n’a pas de licence disponible pour Advanced Security.

Remarque : si vous désactivez GitHub Advanced Security, évaluation de la dépendance, alertes d’analyse des secrets pour les utilisateurs et code scanning sont désactivés. Tous les workflows, les chargements SARIF ou les appels d’API pour code scanning échouent.

Octroi de l’accès aux alertes de sécurité

Les alertes de sécurité d’un référentiel sont visibles par les personnes disposant d’un accès en écriture, gestion ou administration au référentiel et lorsque le référentiel appartient à une organisation, à des propriétaires d’organisation. Vous pouvez donner aux équipes et aux personnes supplémentaires l’accès aux alertes.

Les propriétaires d’organisations et les administrateurs de référentiels peuvent accorder uniquement l’accès permettant d’afficher les alertes de sécurité, comme les alertes Alertes d’analyse de secrets, aux personnes ou aux équipes qui disposent d’un accès en écriture au référentiel.

  1. Dans GitHub.com, accédez à la page principale du dépôt.
  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres. Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.
  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.
  4. Sous « Accès aux alertes », dans le champ de recherche, commencez à taper le nom de la personne ou de l’équipe que vous souhaitez trouver, puis cliquez sur un nom dans la liste des correspondances.
  5. Cliquez sur Save changes.

Suppression de l’accès aux alertes de sécurité

  1. Dans GitHub.com, accédez à la page principale du dépôt.

  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres. Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  4. Sous « Accéder aux alertes », à droite de la personne ou de l’équipe dont vous souhaitez supprimer l’accès, cliquez sur .

    Capture d'écran de la liste des utilisateurs ayant accès aux alertes. À droite de @octocat, une icône x est indiquée en orange foncé.

  5. Cliquez sur Save changes.

Autorisation des vérifications de validité pour les modèles partenaires dans un référentiel

Remarque : les vérifications de validité pour les modèles de partenaires sont actuellement en version bêta et sujettes à modification.

Les vérifications de validité des modèles partenaires sont disponibles sur tous les types de référentiels sur GitHub.com. Pour utiliser cette caractéristique, vous devez disposer d’une licence pour GitHub Advanced Security.

Vous pouvez autoriser secret scanning à vérifier automatiquement la validité d’un secret trouvé dans votre référentiel en l’envoyant au partenaire approprié. Les propriétaires d’organisations et les administrateurs d’entreprise peuvent également activer la fonctionnalité pour tous les référentiels dans les paramètres de l'organisation ou de l'entreprise. Pour plus d’informations, consultez « Autorisation des vérifications de validité pour les modèles partenaires dans une organisation » et « Gestion des fonctionnalités GitHub Advanced Security pour votre entreprise ».

Remarque : lorsque vous activez les vérifications de validité automatiques pour un référentiel, vous autorisez à effectuer également les vérifications de validité à la demande pour les modèles détectés dans ce référentiel.

  1. Dans GitHub.com, accédez à la page principale du dépôt.
  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres. Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.
  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.
  4. Sous Secret scanning, cochez la case en regard de « Vérifier automatiquement si un secret est valide en l’envoyant au partenaire approprié ».

Pour aller plus loin