À propos des fonctionnalités de sécurité de GitHub
GitHub dispose de fonctionnalités de sécurité qui aident à sécuriser le code et les secrets dans les dépôts et au sein des organisations. Certaines fonctionnalités sont disponibles pour tous les dépôts. Des fonctionnalités supplémentaires sont disponibles pour les entreprises qui utilisent GitHub Advanced Security. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».
La GitHub Advisory Database contient une liste organisée de vulnérabilités de sécurité que vous pouvez afficher, rechercher et filtrer. Pour plus d’informations, consultez « Exploration des avis de sécurité dans la base de données GitHub Advisory ».
Fonctionnalités disponibles pour tous les dépôts
Stratégie de sécurité
Permettez à vos utilisateurs de signaler de manière confidentielle les vulnérabilités de sécurité qu’ils ont détectées dans votre dépôt. Pour plus d’informations, consultez « Ajout d’une stratégie de sécurité à votre dépôt ».
Dependabot alerts et mises à jour de sécurité
Affichez des alertes sur les dépendances connues pour contenir des vulnérabilités de sécurité et choisissez si des demandes de tirage (pull request) sont générées automatiquement pour mettre à jour ces dépendances. Pour plus d’informations, consultez « À propos des alertes Dependabot » et « À propos des mises à jour de sécurité Dependabot ».
Pour obtenir une vue d’ensemble des différentes caractéristiques offertes par Dependabot et des instructions de prise en main, consultez « Guide de démarrage rapide Dependabot .»
Dependabot version updates
Utilisez Dependabot pour déclencher automatiquement des demandes de tirage afin de maintenir vos dépendances à jour. Cela aide à réduire votre exposition aux versions antérieures des dépendances. L’utilisation de versions plus récentes facilite l’application de correctifs si des vulnérabilités de sécurité sont découvertes et facilite également le déclenchement de demandes de tirage par les Dependabot security updates pour la mise à niveau des dépendances vulnérables. Vous pouvez également personnaliser Dependabot version updates pour simplifier leur intégration dans vos référentiels. Pour plus d’informations, consultez « À propos des mises à jour de version Dependabot ».
Graphe de dépendances
Le graphe de dépendances vous permet d’explorer les écosystèmes et les packages dont dépend votre dépôt ainsi que les dépôts et les packages qui dépendent de votre dépôt.
Vous trouverez le graphe de dépendances sous l’onglet Insights de votre dépôt. Pour plus d’informations, consultez « À propos du graphe de dépendances ».
Présentation de la sécurité
La vue d’ensemble de la sécurité vous permet de passer en revue le paysage de sécurité global de votre organisation, d’afficher les tendances et d’autres insights, et de gérer les configurations de sécurité, ce qui vous permet de surveiller facilement le statut de sécurité de votre organisation et d’identifier les référentiels et les organisations qui courent le plus de risques. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ».
Fonctionnalités disponibles avec GitHub Advanced Security
Les fonctionnalités de GitHub Advanced Security sont disponibles pour les entreprises disposant d’une licence pour GitHub Advanced Security. Les fonctionnalités sont limitées aux dépôts appartenant à une organisation. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».
Code scanning
Détectez automatiquement les vulnérabilités de sécurité et les erreurs de codage dans le code nouveau ou modifié. Les problèmes potentiels sont mis en surbrillance, avec des informations détaillées, ce qui vous permet de corriger le code avant qu’il ne soit fusionné dans votre branche par défaut. Pour plus d’informations, consultez « À propos de l’analyse du code ».
Analyse des secrets
Détectez automatiquement les jetons ou les informations d’identification qui ont été archivés dans un dépôt. Vous pouvez voir les alertes relatives aux secrets trouvés par GitHub dans votre code, sous l’onglet Sécurité du dépôt. Ainsi, vous savez quels sont les jetons ou les informations d’identification dont la sécurité est compromise. Pour plus d’informations, consultez « À propos de l’analyse des secrets »
Vérification des dépendances
Montrez l’impact complet des modifications apportées aux dépendances et examinez les détails de toutes les versions vulnérables avant de fusionner une demande de tirage. Pour plus d’informations, consultez « À propos de la vérification des dépendances ».