À propos des fonctionnalités de sécurité de GitHub
GitHub dispose de fonctionnalités de sécurité qui aident à sécuriser le code et les secrets dans les dépôts et au sein des organisations. Certaines fonctionnalités sont disponibles pour tous les dépôts. Des fonctionnalités supplémentaires sont disponibles pour les entreprises qui utilisent GitHub Advanced Security. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».
La GitHub Advisory Database contient une liste organisée de vulnérabilités de sécurité que vous pouvez afficher, rechercher et filtrer. Pour plus d’informations, consultez « Exploration des avis de sécurité dans la base de données GitHub Advisory ».
Fonctionnalités disponibles pour tous les dépôts
Stratégie de sécurité
Permettez à vos utilisateurs de signaler de manière confidentielle les vulnérabilités de sécurité qu’ils ont détectées dans votre dépôt. Pour plus d’informations, consultez « Ajout d’une stratégie de sécurité à votre dépôt ».
Dependabot alerts et mises à jour de sécurité
Affichez des alertes sur les dépendances connues pour contenir des vulnérabilités de sécurité et choisissez si des demandes de tirage (pull request) sont générées automatiquement pour mettre à jour ces dépendances. Pour plus d’informations, consultez « À propos des alertes Dependabot » et « À propos des mises à jour de sécurité Dependabot ».
Mises à jour de version Dependabot
Utilisez Dependabot pour déclencher automatiquement des demandes de tirage afin de maintenir vos dépendances à jour. Cela aide à réduire votre exposition aux versions antérieures des dépendances. L’utilisation de versions plus récentes facilite l’application de correctifs si des vulnérabilités de sécurité sont découvertes et facilite également le déclenchement de demandes de tirage par les Dependabot security updates pour la mise à niveau des dépendances vulnérables. Pour plus d’informations, consultez « À propos des mises à jour de version Dependabot ».
Graphe de dépendances
Le graphe de dépendances vous permet d’explorer les écosystèmes et les packages dont dépend votre dépôt ainsi que les dépôts et les packages qui dépendent de votre dépôt.
Vous trouverez le graphe de dépendances sous l’onglet Insights de votre dépôt. Pour plus d’informations, consultez « À propos du graphe de dépendances ».
Vue d’ensemble de la sécurité pour les dépôts
Une vue d’ensemble de la sécurité montre quelles fonctions de sécurité sont activées pour le dépôt et vous laisse configurer toutes les fonctions de sécurité disponibles qui ne sont pas déjà activées.
Fonctionnalités disponibles avec GitHub Advanced Security
Les fonctionnalités de GitHub Advanced Security sont disponibles pour les entreprises disposant d’une licence pour GitHub Advanced Security. Les fonctionnalités sont limitées aux dépôts appartenant à une organisation. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».
Code scanning
Détectez automatiquement les vulnérabilités de sécurité et les erreurs de codage dans le code nouveau ou modifié. Les problèmes potentiels sont mis en surbrillance, avec des informations détaillées, ce qui vous permet de corriger le code avant qu’il ne soit fusionné dans votre branche par défaut. Pour plus d’informations, consultez « À propos de l’analyse du code ».
Analyse des secrets
Détectez automatiquement les jetons ou les informations d’identification qui ont été archivés dans un dépôt. Vous pouvez voir les alertes relatives aux secrets trouvés par GitHub dans votre code, sous l’onglet Sécurité du dépôt. Ainsi, vous savez quels sont les jetons ou les informations d’identification dont la sécurité est compromise. Pour plus d’informations, consultez « À propos de l’analyse des secrets ». »
Vérification des dépendances
Montrez l’impact complet des modifications apportées aux dépendances et examinez les détails de toutes les versions vulnérables avant de fusionner une demande de tirage. Pour plus d’informations, consultez « À propos de la vérification des dépendances ».
Vue d’ensemble de la sécurité pour les organisations, les entreprises et les équipes
Passez en revue la configuration et les alertes de sécurité pour votre organisation et identifiez les dépôts qui courent le plus de risques. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ».