Introduction
Ce guide vous montre comment configurer des fonctionnalités de sécurité pour un dépôt. Vous devez être administrateur de dépôt ou propriétaire d'organisation pour configurer les paramètres de sécurité d'un dépôt.
Vos besoins en matière de sécurité étant propres à votre dépôt, il ne vous est peut-être pas nécessaire d'activer chaque fonctionnalité pour celui-ci. Pour plus d'informations, consultez « Fonctionnalités de sécurité de GitHub ».
Certaines fonctionnalités sont disponibles pour tous les dépôts. Des fonctionnalités supplémentaires sont disponibles pour les entreprises qui utilisent GitHub Advanced Security. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».
Gestion de l'accès à votre dépôt
La première étape de la sécurisation d'un dépôt consiste à choisir qui peut voir et modifier votre code. Pour plus d’informations, consultez « Gestion des paramètres et fonctionnalités de votre dépôt ».
Depuis la page principale de votre référentiel, cliquez sur Paramètres, puis faire défiler vers le bas jusqu'à la « Zone de danger ».
- Pour changer qui peut voir votre dépôt, cliquez sur Changer la visibilité. Pour plus d'informations, consultez « Définition de la visibilité du dépôt ».
- Pour changer qui peut accéder à votre dépôt et ajuster les autorisations, cliquez sur Gérer l'accès. Pour plus d'informations, consultez « Gestion des équipes et des personnes ayant accès à votre dépôt ».
Gestion du graphe de dépendances
Les propriétaires de l’entreprise peuvent configurer le graphe des dépendances et Dependabot alerts pour une entreprise. Pour plus d’informations, consultez « Activation du graphe de dépendances pour votre entreprise » et « Activation de Dependabot pour votre entreprise ».
Pour plus d'informations, consultez « Exploration des dépendances d’un dépôt ».
Gestion des Dependabot alerts
Les Dependabot alerts sont générées quand GitHub identifie, dans le graphe de dépendances, une dépendance avec une vulnérabilité.
Pour obtenir une vue d’ensemble des différentes caractéristiques offertes par Dependabot et des instructions de prise en main, consultez « Guide de démarrage rapide Dependabot .»
Les propriétaires d’entreprise doivent configurer le graphe des dépendances et les Dependabot alerts d’une entreprise.
Une fois que les Dependabot alerts ont été configurées, les administrateurs de dépôt et les propriétaires d’organisation peuvent activer les Dependabot alerts pour les dépôts privés et internes dans leur page des paramètres « Sécurité et analyse du code ». Les dépôts publics sont activés par défaut. Pour plus d’informations, consultez « Activation du graphe de dépendances pour votre entreprise », « Activation de Dependabot pour votre entreprise » et « Configuration d’alertes Dependabot ».
Pour plus d'informations, consultez « À propos des alertes Dependabot.
Gestion de la révision des dépendances
La révision des dépendances vous permet de visualiser les modifications de dépendance dans les demandes de tirage (pull request) avant qu'elles ne soient fusionnées dans vos dépôts. Pour plus d'informations, consultez « À propos de la vérification des dépendances ».
La révision des dépendances est une fonctionnalité de GitHub Advanced Security. Pour activer la révision des dépendances pour un référentiel, vérifiez que le graphe des éléments dépendants est activé et activez GitHub Advanced Security.
- Dans la page principale de votre dépôt, cliquez sur Paramètres.
- Cliquez sur Sécurité et analyse.
- Vérifiez que le graphe des dépendances est configuré pour votre entreprise.
- Si GitHub Advanced Security n'est pas déjà activé, cliquez sur Activer.
Gestion des Dependabot security updates
Pour tout dépôt qui utilise des Dependabot alerts, vous pouvez activer les Dependabot security updates afin de déclencher des demandes de tirage avec des mises à jour de sécurité quand des vulnérabilités sont détectées.
- Dans la page principale de votre dépôt, cliquez sur Paramètres.
- Cliquez sur Sécurité et analyse.
- En regard de Dependabot security updates, cliquez sur Activer.
Pour plus d'informations, consultez « À propos des mises à jour de sécurité Dependabot » et « Configuration des mises à jour de sécurité Dependabot ».
Gestion des Dependabot version updates
Vous pouvez autoriser Dependabot à déclencher automatiquement des demandes de tirage afin de maintenir vos dépendances à jour. Pour plus d'informations, consultez « À propos des mises à jour de version Dependabot ».
Pour activer Dependabot version updates, vous devez créer un fichier config dependabot.yml
. Pour plus d'informations, consultez « Configuration de mises à jour de version Dependabot ».
Configuration de l'code scanning
Note
L'Code scanning est disponible pour les dépôts appartenant à une organisation si votre entreprise utilise GitHub Advanced Security.
Vous pouvez configurer l’code scanning pour identifier automatiquement les vulnérabilités et les erreurs dans le code stocké dans votre dépôt en utilisant un Workflow d’analyse CodeQL ou un outil tiers. Selon les langages de programmation de votre référentiel, vous pouvez configurer code scanning avec CodeQL à l’aide de la configuration par défaut, dans laquelle GitHub détermine automatiquement les langages à analyser, les suites de requêtes à exécuter et les événements qui déclenchent une nouvelle analyse. Pour plus d’informations, consultez « Définition de la configuration par défaut pour l’analyse du code ».
- Dans la page principale de votre dépôt, cliquez sur Paramètres.
- Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.
- Dans la section « Code scanning », sélectionnez Configuration , puis cliquez sur Par défaut.
- Dans la fenêtre indépendante qui s'affiche, passez en revue les paramètres de configuration par défaut de votre dépôt, puis cliquez sur Activer CodeQL .
Vous pouvez également utiliser la configuration avancée, qui génère un fichier de workflow que vous pouvez modifier pour personnaliser l'code scanning avec CodeQL. Pour plus d’informations, consultez « Configuration de la configuration par défaut pour l’analyse du code ».
Configuration de l'secret scanning
Secret scanning est disponible pour les référentiels suivants :
- Référentiels appartenant à l’organisation avec GitHub Advanced Security activé
- pour une entreprise avec GitHub Advanced Security activé
-
Dans la page principale de votre dépôt, cliquez sur Paramètres.
-
Cliquez sur Analyse et sécurité du code.
-
Si GitHub Advanced Security n'est pas déjà activé, cliquez sur Activer.
-
En regard de Secret scanning, cliquez sur Activer.
Définition d'une stratégie de sécurité
Si vous êtes un mainteneur de dépôt, il est recommandé de spécifier une stratégie de sécurité pour votre dépôt en créant un fichier nommé SECURITY.md
dans le dépôt. Ce fichier indique aux utilisateurs comment vous contacter et collaborer avec vous lorsqu'ils souhaitent signaler des vulnérabilités de sécurité dans votre dépôt. Vous pouvez afficher la stratégie de sécurité d'un dépôt dans l'onglet Sécurité du dépôt.
- Depuis la page principale de votre référentiel, cliquez sur Sécurité.
- Cliquez sur Stratégie de sécurité.
- Cliquez sur Démarrer la configuration.
- Ajoutez des informations sur les versions prises en charge de votre projet et sur la façon de signaler les vulnérabilités.
Pour plus d'informations, consultez « Ajout d’une stratégie de sécurité à votre dépôt ».
Étapes suivantes
Vous pouvez afficher et gérer les alertes à partir des fonctionnalités de sécurité pour résoudre les dépendances et les vulnérabilités dans votre code. Pour plus d’informations, consultez « Affichage et mise à jour des alertes Dependabot », « Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances », « Évaluation des alertes d’analyse du code pour votre référentiel » et « Gestion des alertes à partir de l’analyse des secrets ».
Vous pouvez également utiliser les outils de GitHub pour auditer les réponses aux alertes de sécurité. Pour plus d’informations, consultez « Audit des alertes de sécurité ».
Si vous utilisez GitHub Actions, vous pouvez utiliser les fonctionnalités de sécurité de GitHub pour augmenter la sécurité de vos flux de travail. Pour plus d’informations, consultez « Utiliser les fonctions de sécurité de GitHub pour sécuriser votre utilisation des actions GitHub ».