À propos des fonctionnalités de sécurité de GitHub
Les fonctionnalités de sécurité de GitHub permettent de protéger votre code et vos secrets dans les référentiels et au sein des organisations.
- Certaines fonctionnalités sont disponibles pour tous les plans GitHub.
- Des fonctionnalités supplémentaires sont disponibles pour les entreprises qui achètent GitHub Advanced Security.
Disponibles pour tous les plans GitHub
Les fonctionnalités de sécurité suivantes sont à votre disposition, quel que soit votre plan GitHub.
Stratégie de sécurité
Permettez à vos utilisateurs de signaler de manière confidentielle les vulnérabilités de sécurité qu’ils ont détectées dans votre dépôt. Pour plus d’informations, consultez « Ajout d’une stratégie de sécurité à votre dépôt ».
Graphe de dépendances
Le graphe de dépendances vous permet d’explorer les écosystèmes et les packages dont dépend votre dépôt ainsi que les dépôts et les packages qui dépendent de votre dépôt.
Vous trouverez le graphe de dépendances sous l’onglet Insights de votre dépôt. Pour plus d’informations, consultez « À propos du graphe de dépendances ».
Nomenclature logicielle (SBOM)
Vous pouvez exporter le graphe des dépendances de votre référentiel sous la forme d’une nomenclature logicielle (SBOM) compatible avec SPDX. Pour plus d’informations, consultez « Exportation d’une nomenclature logicielle pour votre dépôt ».
GitHub Advisory Database
La GitHub Advisory Database contient une liste organisée de vulnérabilités de sécurité que vous pouvez afficher, rechercher et filtrer. Pour plus d’informations, consultez « Exploration des avis de sécurité dans la base de données GitHub Advisory ».
Dependabot alerts et mises à jour de sécurité
Affichez des alertes sur les dépendances connues pour contenir des vulnérabilités de sécurité et choisissez si des demandes de tirage (pull request) sont générées automatiquement pour mettre à jour ces dépendances. Pour plus d’informations, consultez « À propos des alertes Dependabot » et « À propos des mises à jour de sécurité Dependabot ».
Vous pouvez également utiliser le Règles de triage automatique de Dependabot par défaut, sélectionné par GitHub, pour filtrer automatiquement une quantité importante de faux positifs.
Pour obtenir une vue d’ensemble des différentes caractéristiques offertes par Dependabot et des instructions de prise en main, consultez Guide de démarrage rapide Dependabot.
Dependabot version updates
Utilisez Dependabot pour déclencher automatiquement des demandes de tirage afin de maintenir vos dépendances à jour. Cela aide à réduire votre exposition aux versions antérieures des dépendances. L’utilisation de versions plus récentes facilite l’application de correctifs si des vulnérabilités de sécurité sont découvertes et facilite également le déclenchement de demandes de tirage par les Dependabot security updates pour la mise à niveau des dépendances vulnérables. Vous pouvez également personnaliser Dependabot version updates pour simplifier leur intégration dans vos référentiels. Pour plus d’informations, consultez « À propos des mises à jour de version Dependabot ».
Ensembles de règles de référentiel
Appliquez des normes de code, de sécurité et de conformité cohérentes sur les branches et étiquettes. Pour plus d’informations, consultez « À propos des ensembles de règles ».
Disponible avec GitHub Advanced Security
Les fonctionnalités GitHub Advanced Security sont disponibles pour les entreprises disposant d’une licence pour GitHub Advanced Security. Les fonctionnalités sont limitées aux dépôts appartenant à une organisation.
Analyse des secrets
Détectez automatiquement les jetons ou les informations d’identification qui ont été archivés dans un dépôt. Vous pouvez afficher les alertes pour tous les secrets que GitHub trouve dans votre code, dans l’onglet Sécurité du référentiel, afin de savoir quels jetons ou informations d’identification traiter comme compromis. Pour plus d’informations, consultez « À propos des alertes d’analyse des secrets ».
Protection push.
La protection d’envoi (push) analyse de manière proactive votre code, ainsi que celui de tout contributeur au référentiel, à la recherche de secrets pendant le processus d’envoi et bloque l’envoi si des secrets sont détectés. Si un contributeur contourne le blocage, GitHub crée une alerte. Pour plus d’informations, consultez « À propos de la protection push ».
Contournement délégué pour la protection Push
Le contournement délégué de la protection d’envoi (push) vous permet de contrôler quelles personnes, quels rôles et quelles équipes peuvent contourner la protection d’envoi (push), et met en œuvre un cycle de révision et d’approbation pour les envois contenant des secrets. Pour plus d’informations, consultez « À propos du contournement délégué pour la protection Push ».
Modèles personnalisées
Vous pouvez définir des modèles personnalisés pour identifier les secrets qui ne sont pas détectés par les modèles par défaut pris en charge par secret scanning, tels que les modèles internes à votre organisation. Pour plus d’informations, consultez « Définition de modèles personnalisés pour l’analyse des secrets ».
Code scanning
Détectez automatiquement les vulnérabilités de sécurité et les erreurs de codage dans le code nouveau ou modifié. Les problèmes potentiels sont mis en surbrillance, avec des informations détaillées, ce qui vous permet de corriger le code avant qu’il ne soit fusionné dans votre branche par défaut. Pour plus d’informations, consultez « À propos de l’analyse du code ».
CodeQL CLI
Exécutez les processus CodeQL localement sur des projets logiciels ou pour générer des résultats code scanning à télécharger sur GitHub. Pour plus d’informations, consultez « À propos de CodeQL CLI ».
Règles de triage automatique personnalisées pour Dependabot
Vous aide à gérer vos Dependabot alerts à grande échelle. Les Règles de triage automatique personnalisées permettent de contrôler les alertes ignorées et désactivées temporairement, ou de déclencher un correctif de sécurité Dependabot. Pour plus d’informations, consultez « À propos des alertes Dependabot » et « Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité ».
Vérification des dépendances
Montrez l’impact complet des modifications apportées aux dépendances et examinez les détails de toutes les versions vulnérables avant de fusionner une demande de tirage. Pour plus d’informations, consultez « À propos de la vérification des dépendances ».
Vue d’ensemble de la sécurité
La vue d’ensemble de la sécurité vous permet de passer en revue le paysage de sécurité global de votre organisation, d’afficher les tendances et d’autres insights, et de gérer les configurations de sécurité, ce qui vous permet de surveiller facilement le statut de sécurité de votre organisation et d’identifier les référentiels et les organisations qui courent le plus de risques. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ».