Introduction
Ce guide vous montre comment configurer des fonctionnalités de sécurité pour une organisation. Les besoins de sécurité de votre organisation sont uniques et vous n’avez peut-être pas besoin d’activer chaque fonctionnalité de sécurité. Pour plus d’informations, consultez « Fonctionnalités de sécurité de GitHub ».
Certaines fonctionnalités sont disponibles pour tous les dépôts. Des fonctionnalités supplémentaires sont disponibles pour les entreprises qui utilisent GitHub Advanced Security. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».
Gestion de l’accès à votre organisation
Vous pouvez utiliser des rôles pour contrôler les actions que les personnes peuvent entreprendre dans votre organisation. Par exemple, vous pouvez attribuer le rôle de gestionnaire de sécurité à une équipe pour lui donner la possibilité de gérer les paramètres de sécurité au sein de votre organisation ainsi que l’accès en lecture à tous les dépôts. Pour plus d’informations, consultez « Rôles dans une organisation ».
Création d’une stratégie de sécurité par défaut
Vous pouvez créer une stratégie de sécurité par défaut qui s’affiche dans tous les dépôts publics de votre organisation dépourvus de stratégie de sécurité. Pour plus d’informations, consultez « Création d’un fichier d’intégrité de la communauté par défaut ».
Gestion des Dependabot alerts et du graphe de dépendances
Les propriétaires de l’entreprise peuvent configurer le graphe des dépendances et Dependabot alerts pour une entreprise. Pour plus d’informations, consultez « Activation du graphe de dépendances pour votre entreprise » et « Activation de Dependabot pour votre entreprise ».
Pour plus d’informations, consultez « À propos des alertes Dependabot », « Exploration des dépendances d’un dépôt » et « Gestion des paramètres de sécurité et d’analyse pour votre organisation ».
Gestion de la révision des dépendances
La révision des dépendances est une fonctionnalité Advanced Security qui vous permet de visualiser les modifications de dépendance dans les demandes de tirage (pull request) avant qu’elles ne soient fusionnées dans vos dépôts. Pour plus d’informations, consultez « À propos de la vérification des dépendances ».
La révision des dépendances est disponible quand le graphe de dépendances est activé pour votre instance GitHub Enterprise Server et que vous activez Advanced Security pour l’organisation (voir ci-dessous).
Gestion des Dependabot security updates
Pour tout dépôt qui utilise des Dependabot alerts, vous pouvez activer les Dependabot security updates afin de déclencher des demandes de tirage avec des mises à jour de sécurité quand des vulnérabilités sont détectées. Vous pouvez également activer ou désactiver les Dependabot security updates pour tous les dépôts au sein de votre organisation.
- Cliquez sur votre photo de profil, puis sur Organisations.
- Cliquez sur Paramètres en regard de votre organisation.
- Cliquez sur Sécurité et analyse.
- Cliquez sur Activer tout ou Désactiver tout en regard de Dependabot security updates.
- Si vous le souhaitez, sélectionnez Activer automatiquement pour les nouveaux dépôts.
Pour plus d’informations, consultez « À propos des mises à jour de sécurité Dependabot » et « Gestion des paramètres de sécurité et d’analyse pour votre organisation ».
Gestion des Dependabot version updates
Vous pouvez autoriser Dependabot à déclencher automatiquement des demandes de tirage afin de maintenir vos dépendances à jour. Pour plus d’informations, consultez « À propos des mises à jour de version Dependabot ».
Pour activer les Dependabot version updates, vous devez créer un fichier de configuration dependabot.yml. Pour plus d’informations, consultez « Configuration de mises à jour de version Dependabot ».
Gestion de GitHub Advanced Security
Si votre entreprise possède une licence Advanced Security, vous pouvez activer ou désactiver les fonctionnalités Advanced Security.
- Cliquez sur votre photo de profil, puis sur Organisations.
- Cliquez sur Paramètres en regard de votre organisation.
- Cliquez sur Sécurité et analyse.
- Cliquez sur Activer tout ou Désactiver tout en regard de GitHub Advanced Security.
- Si vous le souhaitez, sélectionnez Activer automatiquement pour les nouveaux dépôts privés.
Pour plus d’informations, consultez « À propos de GitHub Advanced Security » et « Gestion des paramètres de sécurité et d’analyse pour votre organisation ».
Configuration de l’secret scanning
L’Secret scanning est disponible si votre entreprise utilise Advanced Security.
Vous pouvez activer ou désactiver l’secret scanning pour tous les dépôts dans votre organisation qui ont GitHub Advanced Security activé.
-
Cliquez sur votre photo de profil, puis sur Organisations.
-
Cliquez sur Paramètres en regard de votre organisation.
-
Cliquez sur Analyse et sécurité du code.
-
Cliquez sur Tout activer ou Tout désactiver à côté de l’Secret scanning.
-
Si vous le souhaitez, sélectionnez Activer automatiquement pour les dépôts privés ajoutés à Advanced Security .
Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre organisation ».
Configuration de l’code scanning
L’ est une fonctionnalité Advanced Security qui vérifie si le code contient des vulnérabilités et des erreurs de sécurité.
L’ est disponible si votre entreprise utilise Advanced Security.
L’ est configurée au niveau du dépôt. Pour plus d’informations, consultez « Configuration de l’analyse du code pour un référentiel ».
Étapes suivantes
Vous pouvez afficher et gérer les alertes à partir des fonctionnalités de sécurité pour résoudre les dépendances et les vulnérabilités dans votre code. Pour plus d’informations, consultez « Affichage et mise à jour des alertes Dependabot », « Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances », « Gestion des alertes d’analyse du code pour votre référentiel » et « Gestion des alertes à partir de l’analyse des secrets ».
Vous pouvez afficher, filtrer et trier des alertes de sécurité pour des référentiels détenus par votre organisation en ce qui concerne la sécurité. Pour plus d’informations, consultez « À propos de la vue d'ensemble de la sécurité ».