Skip to main content

Cette version de GitHub Enterprise Server n'est plus disponible depuis le 2023-09-12. Aucune publication de correctifs n’est effectuée, même pour les problèmes de sécurité critiques. Pour de meilleures performances, une sécurité améliorée et de nouvelles fonctionnalités, effectuez une mise à niveau vers la dernière version de GitHub Enterprise. Pour obtenir de l’aide sur la mise à niveau, contactez le support GitHub Enterprise.

Sécurisation de votre organisation

Vous pouvez utiliser un certain nombre de fonctionnalités GitHub pour sécuriser votre organisation.

Qui peut utiliser cette fonctionnalité

Organization owners and security managers can manage security features for an organization.

Introduction

En tant que propriétaire d'une organisation ou gestionnaire de la sécurité, vous pouvez utiliser les fonctionnalités de sécurité de GitHub pour sécuriser le code, les dépendances et les secrets de votre organisation. Pour plus d’informations, consultez « Fonctionnalités de sécurité de GitHub ».

Les besoins de votre organisation en matière de sécurité sont uniques. Vous pouvez activer une fonctionnalité si votre organisation a été affectée par une vulnérabilité qu’une certaine fonctionnalité aurait empêchée ou si la fonctionnalité aide votre organisation à répondre à une exigence de conformité.

Vous pouvez activer des fonctionnalités de sécurité sur plusieurs référentiels d’une organisation en même temps. Pour chaque fonctionnalité que vous souhaitez activer, vous devez décider comment déployer la fonctionnalité dans les référentiels de votre organisation. Les différentes fonctionnalités ont des effets différents sur votre organisation et ses contributeurs. Il est donc important d’évaluer l’impact de chaque fonctionnalité. Par exemple :

  • Certaines fonctionnalités peuvent générer des notifications pour informer les membres de votre organisation sur des vulnérabilités spécifiques : pour vous assurer que ces notifications sont ciblées et pertinentes, vous pouvez demander aux membres de vérifier leurs paramètres de notification avant l’activation d’une fonctionnalité. Pour plus d’informations, consultez « Configuration des notifications ».
  • Certaines fonctionnalités peuvent consommer des ressources pour chaque référentiel dans lequel elles sont activées. Par exemple, l’activation de code scanning dans un référentiel privé peut consommer une licence GitHub Advanced Security et l’exécution de l’analyse code scanning dans un référentiel entraîne l’utilisation de GitHub Actions ou d’un autre système CI.

En tant que propriétaire d'une organisation, vous pouvez accorder à certains utilisateurs l’autorisation d’activer ou de désactiver les fonctionnalités de sécurité en attribuant le rôle « gestionnaire de la sécurité » à une équipe. Les responsables de la sécurité peuvent configurer les paramètres de sécurité et analyser l’utilisation des fonctionnalités de sécurité dans votre organisation. Pour plus d’informations, consultez « Gestion des gestionnaires de sécurité dans votre organisation ».

À propos des composants requis des fonctionnalités

Certaines fonctionnalités de sécurité ont des composants requis. Par exemple, Dependabot alerts utilisent les informations du graphe des dépendances. Par conséquent, l’activation de Dependabot alerts active automatiquement le graphe des dépendances.

Certaines fonctionnalités sont uniquement disponibles pour les entreprises qui utilisent GitHub Advanced Security et qui ont activé Advanced Security comme fonctionnalité pour les référentiels. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Remarque : les entreprises peuvent définir une stratégie pour gérer les organisations qui peuvent activer GitHub Advanced Security. Pour plus d’informations, consultez « Application de stratégies de sécurité et d’analyse du code pour votre entreprise ».

Vous devez configurer certaines fonctionnalités pour chaque référentiel individuellement. Par exemple, pour activer Dependabot version updates dans un référentiel, vous devez ajouter un fichier dependabot.yml spécifiant où trouver des informations sur les dépendances du projet. Pour plus d’informations, consultez « Configuration de mises à jour de version Dependabot ».

Activation des fonctionnalités de sécurité dans votre organisation

Lorsque vous avez décidé d’activer une fonctionnalité de sécurité, l’étape suivante consiste à décider comment déployer cette fonctionnalité dans votre organisation.

Une fois que vous avez décidé d’activer une fonctionnalité pour les référentiels existants de votre organisation, vous devez également décider comment gérer les nouveaux référentiels créés dans votre organisation à l’avenir. Pour plus d’informations, consultez « Activation d’une fonctionnalité pour de nouveaux référentiels ».

Pour plus d’informations sur la création d’une stratégie de déploiement de fonctionnalités de sécurité dans une grande organisation ou une entreprise, consultez « Introduction à l’adoption de GitHub Advanced Security à grande échelle ».

Activation d’une fonctionnalité pour tous les référentiels

Le moyen le plus rapide de déployer une fonctionnalité de sécurité consiste à l’activer pour tous les référentiels de votre organisation à la fois. Si vous avez identifié un besoin critique pour une fonctionnalité, son activation pour tous les référentiels vous offre une protection sur l’ensemble de votre organisation, sans vous obliger à suspendre pour concevoir un plan de déploiement.

Avant d’activer une fonctionnalité pour tous les référentiels, vous devez tenir compte de l’impact de cette action. Si vous n’êtes pas certain des effets d’une fonctionnalité, il est plus sûr de commencer par activer la fonctionnalité pour une sélection limitée de référentiels. L’activation d’une fonctionnalité pour tous les référentiels en même temps est probablement une option appropriée dans les situations suivantes.

  • Vous disposez d’une vue d’ensemble de tous les référentiels de votre organisation et vous êtes sûr qu’ils bénéficieront tous d’une fonctionnalité spécifique.
  • Si une fonctionnalité nécessite des ressources telles que des licences GitHub Advanced Security ou GitHub Actions minutes, vous avez évalué les ressources qui seront nécessaires et vous êtes heureux de continuer.
  • Si la fonctionnalité génère des notifications ou des demandes de tirage, vous êtes sûr que celles-ci seront ciblées et pertinentes pour les membres qui les reçoivent ou qui doivent les examiner.

Lorsque vous êtes prêt à continuer, suivez ces étapes pour activer une fonctionnalité pour tous les référentiels.

  1. Sur votre instance GitHub Enterprise Server, accédez à la page principale de l’organisation.

  2. Sous le nom de votre organisation, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran de la barre de navigation horizontale d’une organisation. L’onglet « Paramètres » est présenté en orange foncé.

  3. Dans la barre latérale de gauche, cliquez sur Sécurité et analyse du code.

  4. Pour activer une fonctionnalité dans tous les référentiels de votre organisation où la fonctionnalité est prise en charge, en regard du nom de la fonctionnalité, cliquez sur Activer tout.

Lorsque vous cliquez sur Activer tout, vous êtes invité à confirmer votre choix. Vous serez également informé si la fonctionnalité dépend d’une autre fonctionnalité ou nécessite GitHub Advanced Security. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre organisation ».

Activation d’une fonctionnalité pour une sélection de référentiels

Dans certains cas, il est préférable d’identifier une sélection de référentiels qui nécessitent une fonctionnalité, puis d’activer la fonctionnalité uniquement pour ces référentiels.

Si vous n’êtes pas sûr de l’impact d’une fonctionnalité, vous pouvez tester la fonctionnalité sur une sélection limitée de référentiels avant de valider l’activation de la fonctionnalité pour tous les référentiels ou vous pouvez déployer la fonctionnalité progressivement sur plusieurs phases. Vous savez peut-être également que certains référentiels de votre organisation nécessitent un ensemble de fonctionnalités différent des autres.

Une fois que vous avez identifié les référentiels qui nécessitent une fonctionnalité, vous pouvez activer la fonctionnalité pour chaque référentiel individuellement. En tant que propriétaire d'une organisation ou gestionnaire de la sécurité, vous pouvez configurer les paramètres de sécurité de chaque référentiel de votre organisation. Pour plus d’informations, consultez « Sécurisation de votre dépôt ».

Si vous disposez d’un nombre limité de licences pour GitHub Advanced Security, vous pouvez classer par ordre de priorité les référentiels qui contiennent des projets critiques ou qui ont les fréquences de validation les plus élevées. Pour plus d’informations, consultez « À propos de la facturation pour GitHub Advanced Security ».

Activation d’une fonctionnalité pour de nouveaux référentiels

Vous pouvez choisir d’activer automatiquement une fonctionnalité de sécurité dans tous les nouveaux référentiels créés dans votre organisation. L’activation des fonctionnalités dans de nouveaux référentiels garantit leur protection immédiate et garantit que les vulnérabilités dans les référentiels sont identifiées le plus tôt possible. Toutefois, pour utiliser les fonctionnalités de sécurité aussi efficacement que possible, vous pouvez préférer examiner chaque nouveau référentiel individuellement.

  1. Sur votre instance GitHub Enterprise Server, accédez à la page principale de l’organisation.

  2. Sous le nom de votre organisation, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran de la barre de navigation horizontale d’une organisation. L’onglet « Paramètres » est présenté en orange foncé.

  3. Dans la barre latérale de gauche, cliquez sur Sécurité et analyse du code.

  4. Sous le nom de la fonctionnalité, sélectionnez l’option permettant d’activer automatiquement la fonctionnalité dans les référentiels futurs applicables.

    Capture d’écran de la page « Sécurité et analyse du code ». Sous « Alertes Dependabot », une case à cocher permettant d’activer la fonctionnalité dans les futurs référentiels est mise en surbrillance avec un contour orange.

Analyse de l’impact des fonctionnalités de sécurité

Lorsque vous avez activé une fonctionnalité, vous devez communiquer avec les administrateurs de référentiels et les contributeurs de votre organisation pour évaluer l’impact de la fonctionnalité. Vous devrez peut-être ajuster la configuration de certaines fonctionnalités au niveau du référentiel ou réévaluer la distribution des fonctionnalités de sécurité dans votre organisation. Vous devez également analyser les alertes de sécurité générées par une fonctionnalité et les réponses de vos membres à ces alertes.

Vous peuvent utiliser une vue d’ensemble de la sécurité pour voir quelles équipes et référentiels sont affectés par les alertes de sécurité, avec une décomposition des alertes par gravité. Pour plus d’informations, consultez « Évaluation des risques liés à la sécurité de votre code ».

Vous pouvez utiliser différents outils pour analyser les actions que les membres de votre organisation effectuent en réponse aux alertes de sécurité. Pour plus d’informations, consultez « Audit des alertes de sécurité ».

Étapes suivantes

Pour aider les utilisateurs à signaler des failles de sécurité, vous pouvez créer une stratégie de sécurité par défaut qui s’affichera dans les référentiels publics de votre organisation qui n’ont pas leur propre stratégie de sécurité. Pour plus d’informations, consultez « Création d’un fichier d’intégrité de la communauté par défaut ».

Une fois la configuration de la sécurité de votre organisation en place, vous pouvez empêcher les utilisateurs de modifier les paramètres de sécurité dans un référentiel. Un propriétaire d’entreprise peut empêcher les administrateurs de référentiels d’activer ou de désactiver des fonctionnalités dans un référentiel. Pour plus d’informations, consultez « Application de stratégies de sécurité et d’analyse du code pour votre entreprise ».