Introduction
En tant que propriétaire d'une organisation ou gestionnaire de la sécurité, vous pouvez utiliser les fonctionnalités de sécurité de GitHub pour sécuriser le code, les dépendances et les secrets de votre organisation. Pour plus d’informations, consultez « Fonctionnalités de sécurité de GitHub ».
Les besoins de votre organisation en matière de sécurité sont uniques. Vous pouvez activer une fonctionnalité si votre organisation a été affectée par une vulnérabilité qu’une certaine fonctionnalité aurait empêchée ou si la fonctionnalité aide votre organisation à répondre à une exigence de conformité.
Vous pouvez activer des fonctionnalités de sécurité sur plusieurs référentiels d’une organisation en même temps. Pour chaque fonctionnalité que vous souhaitez activer, vous devez décider comment déployer la fonctionnalité dans les référentiels de votre organisation. Les différentes fonctionnalités ont des effets différents sur votre organisation et ses contributeurs. Il est donc important d’évaluer l’impact de chaque fonctionnalité. Par exemple :
- Certaines fonctionnalités peuvent générer des notifications pour informer les membres de votre organisation sur des vulnérabilités spécifiques : pour vous assurer que ces notifications sont ciblées et pertinentes, vous pouvez demander aux membres de vérifier leurs paramètres de notification avant l’activation d’une fonctionnalité. Pour plus d’informations, consultez « Configuration des notifications ».
- Certaines fonctionnalités peuvent consommer des ressources pour chaque référentiel dans lequel elles sont activées. Par exemple, l’activation de code scanning dans un référentiel privé peut consommer une licence GitHub Advanced Security et l’exécution de l’analyse code scanning dans un référentiel entraîne l’utilisation de GitHub Actions ou d’un autre système CI.
En tant que propriétaire d'une organisation, vous pouvez accorder à certains utilisateurs l’autorisation d’activer ou de désactiver les fonctionnalités de sécurité en attribuant le rôle « gestionnaire de la sécurité » à une équipe. Les responsables de la sécurité peuvent configurer les paramètres de sécurité et analyser l’utilisation des fonctionnalités de sécurité dans votre organisation. Pour plus d’informations, consultez « Gestion des gestionnaires de sécurité dans votre organisation ».
À propos des composants requis des fonctionnalités
Certaines fonctionnalités de sécurité ont des composants requis. Par exemple, Dependabot alerts utilisent les informations du graphe des dépendances. Par conséquent, l’activation de Dependabot alerts active automatiquement le graphe des dépendances.
Certaines fonctionnalités sont uniquement disponibles pour les entreprises qui utilisent GitHub Advanced Security et qui ont activé Advanced Security comme fonctionnalité pour les dépôts. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».
Note
Les entreprises peuvent définir une stratégie pour gérer les organisations qui peuvent activer GitHub Advanced Security. Pour plus d’informations, consultez « Application de stratégies de sécurité et d’analyse du code pour votre entreprise ».
Vous devez configurer certaines fonctionnalités pour chaque référentiel individuellement. Par exemple, pour activer Dependabot version updates dans un référentiel, vous devez ajouter un fichier dependabot.yml
spécifiant où trouver des informations sur les dépendances du projet. Pour plus d’informations, consultez « Configuration de mises à jour de version Dependabot ».
Activation des fonctionnalités de sécurité dans votre organisation
Lorsque vous avez décidé d’activer une fonctionnalité de sécurité, l’étape suivante consiste à décider comment déployer cette fonctionnalité dans votre organisation.
- Si vous souhaitez déployer une fonctionnalité aussi rapidement que possible, vous pouvez l’activer pour tous les référentiels éligibles à la fois. Pour plus d’informations, consultez Activation d’une fonctionnalité pour tous les référentiels.
- Si vous souhaitez contrôler la rapidité à laquelle vous déployez une fonctionnalité et les fonctionnalités activées dans quels référentiels, vous pouvez activer une fonctionnalité pour une sélection de référentiels. Pour plus d’informations, consultez Activation d’une fonctionnalité pour une sélection de référentiels.
Une fois que vous avez décidé d’activer une fonctionnalité pour les référentiels existants de votre organisation, vous devez également décider comment gérer les nouveaux référentiels créés dans votre organisation à l’avenir. Pour plus d’informations, consultez Activation d’une fonctionnalité pour de nouveaux référentiels.
Pour plus d'informations sur la création d'une stratégie de déploiement de fonctionnalités de sécurité dans une grande organisation ou une entreprise, consultez Introduction à l’adoption de GitHub Advanced Security à grande échelle.
Activation d’une fonctionnalité pour tous les référentiels
Le moyen le plus rapide de déployer une fonctionnalité de sécurité consiste à l’activer pour tous les référentiels de votre organisation à la fois. Si vous avez identifié un besoin critique pour une fonctionnalité, son activation pour tous les référentiels vous offre une protection sur l’ensemble de votre organisation, sans vous obliger à suspendre pour concevoir un plan de déploiement.
Avant d’activer une fonctionnalité pour tous les référentiels, vous devez tenir compte de l’impact de cette action. Si vous n’êtes pas certain des effets d’une fonctionnalité, il est plus sûr de commencer par activer la fonctionnalité pour une sélection limitée de référentiels. L’activation d’une fonctionnalité pour tous les référentiels en même temps est probablement une option appropriée dans les situations suivantes.
- Vous disposez d’une vue d’ensemble de tous les référentiels de votre organisation et vous êtes sûr qu’ils bénéficieront tous d’une fonctionnalité spécifique.
- Si une fonctionnalité nécessite des ressources telles que des licences GitHub Advanced Security ou des minutes GitHub Actions, vous avez évalué les ressources qui seront requises et êtes prêt à procéder.
- Si la fonctionnalité génère des notifications ou des demandes de tirage, vous êtes sûr que celles-ci seront ciblées et pertinentes pour les membres qui les reçoivent ou qui doivent les examiner.
Lorsque vous êtes prêt à continuer, suivez ces étapes pour activer une fonctionnalité pour tous les référentiels.
-
Sur GitHub, accédez à la page principale de l’organisation.
-
Sous le nom de votre organisation, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.
-
Dans la barre latérale de gauche, cliquez sur Sécurité et analyse du code.
-
Localisez la fonctionnalité que vous souhaitez activer et utilisez les cases à cocher associées pour affiner les options.
-
Lorsque vous êtes prêt à activer la fonctionnalité dans tous les référentiels de votre organisation où la fonctionnalité est prise en charge, en regard du nom de la fonctionnalité, cliquez sur Activer tout.
Lorsque vous cliquez sur Activer tout, vous êtes invité à confirmer votre choix. Vous serez également informé si la fonctionnalité dépend d’une autre fonctionnalité ou nécessite GitHub Advanced Security. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d'analyse pour votre organisation ».
Activation d’une fonctionnalité pour une sélection de référentiels
Dans certains cas, il est préférable d’identifier une sélection de référentiels qui nécessitent une fonctionnalité, puis d’activer la fonctionnalité uniquement pour ces référentiels.
Si vous n’êtes pas sûr de l’impact d’une fonctionnalité, vous pouvez tester la fonctionnalité sur une sélection limitée de référentiels avant de valider l’activation de la fonctionnalité pour tous les référentiels ou vous pouvez déployer la fonctionnalité progressivement sur plusieurs phases. Vous savez peut-être également que certains référentiels de votre organisation nécessitent un ensemble de fonctionnalités différent des autres.
Vous pouvez utiliser l’affichage « Couverture de sécurité » pour identifier les référentiels qui nécessitent une certaine fonctionnalité, puis activer la fonctionnalité pour ces référentiels. Les étapes suivantes décrivent comment rechercher l’affichage « Couverture de la sécurité ».
-
Sur GitHub, accédez à la page principale de l’organisation.
-
Sous le nom de votre organisation, cliquez sur Sécurité.
-
Dans la barre latérale, cliquez sur Couverture.
Dans cet affichage, vous pouvez utiliser des cases à cocher pour sélectionner des référentiels spécifiques ou vous pouvez utiliser la barre de recherche pour rechercher les référentiels dans lesquels vous souhaitez activer une fonctionnalité. Par exemple, vous pouvez utiliser des filtres pour identifier les référentiels où une certaine équipe dispose d’un accès en écriture ou administrateur, ou exclure les référentiels qui ne nécessitent pas le même niveau de protection, tels que les référentiels de test ou les référentiels pour la documentation interne. Vous pouvez ensuite activer des fonctionnalités pour tous les référentiels sélectionnés à la fois. Pour plus d’informations, consultez « Activation des fonctionnalités de sécurité pour plusieurs dépôts ».
Si vous disposez d’un nombre limité de licences pour GitHub Advanced Security, vous pouvez classer par ordre de priorité les dépôts qui contiennent des projets critiques ou qui ont les fréquences de validation les plus élevées. Consultez À propos de la facturation pour GitHub Advanced Security.
Note
- L’activation de la configuration par défaut de code scanning ne remplace pas les configurations existantes de la configuration avancée pour les référentiels sélectionnés, mais elle remplace toutes les configurations existantes de l’installation par défaut.
- L’activation des « alertes » pour secret scanning active les alertes par défaut. Si vous souhaitez activer les alertes qui ne sont pas relatives au fournisseur, vous devez modifier les paramètres du référentiel, de l'organisation ou de l'entreprise. Pour plus d’informations sur les types d'alertes, voir « Secrets pris en charge ».
Activation d’une fonctionnalité pour de nouveaux référentiels
Vous pouvez choisir d’activer automatiquement une fonctionnalité de sécurité dans tous les nouveaux référentiels créés dans votre organisation. L’activation des fonctionnalités dans de nouveaux référentiels garantit leur protection immédiate et garantit que les vulnérabilités dans les référentiels sont identifiées le plus tôt possible. Toutefois, pour utiliser les fonctionnalités de sécurité aussi efficacement que possible, vous pouvez préférer examiner chaque nouveau référentiel individuellement.
-
Sur GitHub, accédez à la page principale de l’organisation.
-
Sous le nom de votre organisation, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.
-
Dans la barre latérale de gauche, cliquez sur Sécurité et analyse du code.
-
Sous le nom de la fonctionnalité, sélectionnez l’option permettant d’activer automatiquement la fonctionnalité dans les référentiels futurs applicables.
Analyse de l’impact des fonctionnalités de sécurité
Lorsque vous avez activé une fonctionnalité, vous devez communiquer avec les administrateurs de référentiels et les contributeurs de votre organisation pour évaluer l’impact de la fonctionnalité. Vous devrez peut-être ajuster la configuration de certaines fonctionnalités au niveau du référentiel ou réévaluer la distribution des fonctionnalités de sécurité dans votre organisation. Vous devez également analyser les alertes de sécurité générées par une fonctionnalité et les réponses de vos membres à ces alertes.
Vous pouvez utiliser la vue d’ensemble de la sécurité pour voir les équipes et dépôts qui sont affectés par des alertes de sécurité, avec une répartition des alertes par gravité. Pour plus d’informations, consultez « Évaluation des risques liés à la sécurité de votre code ».
Vous pouvez utiliser différents outils pour analyser les actions que les membres de votre organisation effectuent en réponse aux alertes de sécurité. Pour plus d’informations, consultez « Audit des alertes de sécurité ».
Étapes suivantes
Pour aider les utilisateurs à signaler des failles de sécurité, vous pouvez créer une stratégie de sécurité par défaut qui s’affichera dans les dépôts publics de votre organisation qui n’ont pas leur propre stratégie de sécurité. Pour plus d’informations, consultez « Création d’un fichier d’intégrité de la communauté par défaut ».
Une fois la configuration de la sécurité de votre organisation en place, vous pouvez empêcher les utilisateurs de modifier les paramètres de sécurité dans un dépôt. Un propriétaire d’entreprise peut empêcher les administrateurs de référentiels d’activer ou de désactiver des fonctionnalités dans un référentiel. Pour plus d’informations, consultez « Application de stratégies de sécurité et d’analyse du code pour votre entreprise ».
Si vous utilisez GitHub Actions, vous pouvez utiliser les fonctionnalités de sécurité de GitHub pour augmenter la sécurité de vos flux de travail. Pour plus d’informations, consultez « Utiliser les fonctions de sécurité de GitHub pour sécuriser votre utilisation des actions GitHub ».