Meilleures pratiques pour les référentiels

Découvrez comment utiliser efficacement et en toute sécurité des référentiels.

Dans cet article

Créer un fichier README

Pour faciliter la compréhension et la navigation dans votre projet, nous vous recommandons de créer un fichier README pour chaque référentiel.

Vous pouvez ajouter un fichier README à un référentiel pour communiquer des informations importantes sur votre projet. Un fichier README, ainsi qu’une licence de dépôt, fichier de citation et des recommandations de contribution, pour communiquer les attentes de votre projet et vous aider à gérer les contributions. Pour plus d’informations, consultez À propos des README.

Sécuriser votre dépôt

Vous devez sécuriser votre référentiel en utilisant les fonctionnalités de sécurité disponibles dans GitHub pour protéger votre code contre les vulnérabilités, les accès non autorisés et d’autres menaces potentielles pour la sécurité. Au minimum, vous devez activer les fonctionnalités suivantes :

  • Dependabot alerts vous avertit des failles de sécurité dans le réseau de dépendances de votre projet, afin que vous puissiez mettre à jour la dépendance concernée vers une version plus sécurisée.
  • Secret scanning analyse votre référentiel à la recherche de secrets (tels que les clés API et les jetons) et vous avertit si un secret est détecté, afin que vous puissiez le supprimer de votre référentiel.
  • Protection d’envoi (push) vous empêche (ainsi que vos collaborateurs) d'introduire des secrets dans le référentiel, en bloquant les envois contenant des secrets pris en charge.
  • Code scanning identifie les vulnérabilités et les erreurs dans le code de votre référentiel, afin que vous puissiez résoudre ces problèmes rapidement et empêcher qu’une vulnérabilité ou une erreur ne soit exploitée par des acteurs malveillants.

De plus, vous pouvez également prendre en compte les éléments suivants :

  • Ajout d’un fichier SECURITY.md à votre référentiel. Le fichier SECURITY.md fournit des instructions aux collaborateurs sur la manière de signaler les failles de sécurité trouvées dans votre projet et encourage la divulgation responsable.

Pour plus d’informations, consultez « Démarrage rapide pour la sécurisation de votre dépôt ».

Privilégier la création de branches à la duplication

Pour faciliter la collaboration, nous recommandons que les collaborateurs réguliers travaillent à partir d’un seul référentiel, en créant des demandes de tirage entre les branches plutôt qu’entre les référentiels. La duplication est mieux adaptée pour accepter des contributions de personnes qui ne sont pas affiliées à un projet, par exemple des contributeurs open source.

Pour maintenir la qualité des branches importantes, notamment main, lors de l’utilisation d’un workflow de branchement, vous pouvez utiliser des branches protégées avec des vérifications d’état requises et des révisions de demande de tirage. Pour plus d’informations, consultez « À propos des branches protégées ».

Utiliser Stockage Fichiers volumineux Git

Pour optimiser les performances, GitHub limite la taille des fichiers autorisés dans les dépôts. Pour plus d’informations, consultez « À propos des fichiers volumineux sur GitHub ».

Pour suivre des fichiers volumineux dans un référentiel Git, nous vous recommandons d’utiliser Stockage Fichiers volumineux Git (Git LFS). Pour plus d’informations, consultez « À propos du stockage de fichiers Git volumineux ».