À propos de la gestion des paramètres de sécurité et d'analyse
GitHub peut vous aider à sécuriser les dépôts dans votre organisation. Vous pouvez gérer les fonctionnalités de sécurité et d'analyse pour tous les dépôts existants ou nouveaux que les membres créent dans votre organisation.
Affichage des paramètres de sécurité et d'analyse
- Dans le coin supérieur droit de GitHub, sélectionnez votre photo de profil, puis cliquez sur Vos organisations.
- En regard de l’organisation, cliquez sur Paramètres.
- Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.
La page affichée vous permet d'activer ou de désactiver toutes les fonctionnalités de sécurité et d'analyse pour les dépôts de votre organisation.
Si vous avez une licence pour GitHub Advanced Security, la page contient également des options permettant d'activer et de désactiver les fonctionnalités de Advanced Security. Les référentiels qui utilisent GitHub Advanced Security sont listés en bas de la page.
Activation ou désactivation d'une fonctionnalité pour tous les référentiels existants
Vous pouvez activer ou désactiver des fonctionnalités pour tous les dépôts.
Vous pouvez utiliser la vue d'ensemble de la sécurité pour rechercher un ensemble de dépôts et activer ou désactiver les fonctionnalités de sécurité pour tout cet ensemble en même temps. Pour plus d’informations, consultez « Activation des fonctionnalités de sécurité pour plusieurs dépôts ».
Note
Si vous activez GitHub Advanced Security, les auteurs actifs de ces dépôts utiliseront GitHub Advanced Security licences. Cette option est désactivée si vous avez dépassé la capacité de votre licence.
Note
Si vous rencontrez une erreur indiquant « GitHub Advanced Security ne peut pas être activé en raison d’un paramètre de stratégie pour l’organisation », contactez votre administrateur d’entreprise et demandez-lui de modifier la stratégie GitHub Advanced Security pour votre entreprise. Pour plus d’informations, consultez « Application de stratégies de sécurité et d’analyse du code pour votre entreprise ».
-
Accédez aux paramètres de sécurité et d'analyse pour votre organisation. Pour plus d’informations, consultez Affichage des paramètres de sécurité et d’analyse.
-
Sous « Sécurité et analyse du code », à droite de la fonctionnalité, cliquez sur Tout désactiver ou Tout activer pour afficher une boîte de dialogue de confirmation. Le contrôle pour « GitHub Advanced Security » est désactivé si vous n'avez pas de licence disponible pour GitHub Advanced Security.
-
Passez en revue les informations de la boîte de dialogue.
-
Si vous choisissez d'activer les rapports de vulnérabilité privés, le graphe des dépendances ou Dependabot, sélectionnez Activer par défaut pour les nouveaux référentiels.
-
Lorsque vous êtes prêt à apporter des changements, cliquez sur Désactiver FONCTIONNALITÉ ou Activer FONCTIONNALITÉ pour désactiver ou activer la fonctionnalité pour tous les dépôts de votre organisation.
-
Vous pouvez également sélectionner des paramètres d'activation supplémentaires dans la section des paramètres de sécurité et d'analyse relative à votre fonctionnalité. Les paramètres d'activation supplémentaires peuvent inclure :
-
Activation automatique pour un type spécifique de référentiel
-
Paramètres spécifiques aux fonctionnalités, comme la recommandation de la suite de requêtes étendue pour code scanning l'installation par défaut dans toute votre organisation, ou la validation automatique du secret pour secret scanning
Note
- Si vous désactivez CodeQL code scanning pour tous les référentiels, cette modification ne sera pas visible dans les informations de couverture affichées dans la vue d’ensemble de la sécurité de l’organisation. Les dépôts semblent toujours avoir l’code scanning activée dans la vue « Couverture de sécurité ».
- L'activation de code scanning pour tous les dépôts éligibles d'une organisation ne va pas remplacer les configurations d'code scanning existantes. Pour plus d’informations sur la définition de la configuration par défaut avec des paramètres différents pour des référentiels spécifiques, consultez Définition de la configuration par défaut pour l’analyse du code et Définition de la configuration par défaut pour l’analyse du code à grande échelle.
-
Quand vous activez une ou plusieurs fonctionnalités de sécurité et d’analyse pour les dépôts existants, tous les résultats s’affichent sur GitHub en quelques minutes :
- Tous les dépôts existants reçoivent la configuration sélectionnée.
- Les nouveaux référentiels suivent la configuration sélectionnée si vous avez coché la case pour les nouveaux référentiels.
- Nous utilisons les autorisations pour rechercher les fichiers manifeste et appliquer les services appropriés.
- Si l’option est activée, vous voyez les informations de dépendance dans le graphe des dépendances.
- Si l’option est activée, GitHub génère des Dependabot alerts s’il existe des dépendances vulnérables ou des programmes malveillants.
- Si l’option est activée, les mises à jour de sécurité Dependabot créent des demandes de tirage (pull requests) pour changer de niveau les dépendances vulnérables quand des Dependabot alerts sont déclenchées.
Activation ou désactivation automatique d'une fonctionnalité quand de nouveaux dépôts sont ajoutés
- Accédez aux paramètres de sécurité et d'analyse pour votre organisation. Pour plus d’informations, consultez Affichage des paramètres de sécurité et d’analyse.
- Sous « Sécurité et analyse du code », localisez la fonctionnalité, activez ou désactivez la fonctionnalité par défaut pour les nouveaux référentiels dans votre organisation.
Autoriser Dependabot à accéder aux dépendances privées
Dependabot peut vérifier les références de dépendance obsolètes dans un projet et générer automatiquement une demande de tirage pour les mettre à jour. Pour cela, Dependabot doit avoir accès à tous les fichiers de dépendance ciblés. En règle générale, les mises à jour de version échouent si une ou plusieurs dépendances sont inaccessibles. Pour plus d’informations, consultez « À propos des mises à jour de version Dependabot ».
Par défaut, Dependabot ne peut pas mettre à jour les dépendances qui sont situées dans des dépôts privés, ou des registres de paquets privés. Cependant, si une dépendance se trouve dans un dépôt privé GitHub dans la même organisation que le projet qui utilise cette dépendance, vous pouvez permettre à Dependabot de mettre à jour la version avec succès en lui donnant accès au référentiel hôte.
Si votre code dépend de packages dans un registre privé, vous pouvez autoriser Dependabot à mettre à jour les versions de ces dépendances en configurant cela au niveau du référentiel. Pour cela, ajoutez des détails d'authentification au fichier dependabot.yml
pour le dépôt. Pour plus d’informations, consultez « Dependabot options reference ».
Pour permettre à Dependabot d'accéder à un référentiel privé ou interne GitHub :
-
Accédez aux paramètres de sécurité et d'analyse pour votre organisation. Pour plus d’informations, consultez Affichage des paramètres de sécurité et d’analyse.
-
Sous « Accorder Dependabot l'accès au référentiel privé », cliquez sur Ajouter des référentiels internes et privés pour afficher un champ de recherche de référentiel.
-
Commencez à taper le nom du dépôt auquel vous souhaitez accorder l'accès à Dependabot.
-
Une liste de dépôts correspondants dans l'organisation s'affiche. Cliquez sur le dépôt auquel vous souhaitez autoriser l'accès, ce qui ajoute le dépôt à la liste d'autorisation.
-
Si vous le souhaitez, pour supprimer un dépôt de la liste, à la droite du dépôt, cliquez sur .
Suppression de l'accès à GitHub Advanced Security dans des dépôts individuels d'une organisation
Vous pouvez gérer l’accès aux fonctionnalités de GitHub Advanced Security pour un référentiel à partir de son onglet « Paramètres ». Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ». Cependant, vous pouvez aussi désactiver les fonctionnalités de GitHub Advanced Security pour un dépôt à partir de l'onglet « Paramètres » pour l'organisation.
- Accédez aux paramètres de sécurité et d'analyse pour votre organisation. Pour plus d’informations, consultez Affichage des paramètres de sécurité et d’analyse.
- Pour voir la liste de tous les dépôts de votre organisation avec GitHub Advanced Security activé, faites défiler jusqu'à la section « Dépôts GitHub Advanced Security ».
Le tableau répertorie le nombre de commiteurs uniques pour chaque référentiel. C'est le nombre de licences licences que vous pouvez libérer en supprimant l'accès à GitHub Advanced Security. Pour plus d’informations, consultez « À propos de la facturation pour GitHub Advanced Security ».
- Pour supprimer l'accès à GitHub Advanced Security d'un dépôt et libérer des licences utilisées par des commiteurs actifs qui sont uniques dans le dépôt, cliquez sur le adjacent.
- Dans la boîte de dialogue de confirmation, cliquez sur Supprimer le dépôt pour supprimer l'accès aux fonctionnalités de GitHub Advanced Security.
Note
Si vous supprimez l’accès à GitHub Advanced Security pour un dépôt, vous devez communiquer avec l’équipe de développement concernée afin qu’ils sachent que la modification était intentionnelle. Ceci garantit qu'ils ne perdent pas de temps à déboguer des exécutions d'analyse du code en échec.