Cette version de GitHub Enterprise Server n'est plus disponible depuis le 2024-03-26. Aucune publication de correctifs n’est effectuée, même pour les problèmes de sécurité critiques. Pour de meilleures performances, une sécurité améliorée et de nouvelles fonctionnalités, effectuez une mise à niveau vers la dernière version de GitHub Enterprise. Pour obtenir de l’aide sur la mise à niveau, contactez le support GitHub Enterprise.

Sécurisation de votre dépôt

Vous pouvez utiliser un certain nombre de fonctionnalités GitHub pour sécuriser votre référentiel.

Qui peut utiliser cette fonctionnalité ?

Repository administrators and organization owners can configure repository security settings.

Dans cet article

Introduction

Ce guide vous montre comment configurer des fonctionnalités de sécurité pour un dépôt. Vous devez être administrateur de dépôt ou propriétaire d'organisation pour configurer les paramètres de sécurité d'un dépôt.

Vos besoins en matière de sécurité étant propres à votre dépôt, il ne vous est peut-être pas nécessaire d'activer chaque fonctionnalité pour celui-ci. Pour plus d'informations, consultez « Fonctionnalités de sécurité de GitHub ».

Certaines fonctionnalités sont disponibles pour tous les dépôts. Des fonctionnalités supplémentaires sont disponibles pour les entreprises qui utilisent GitHub Advanced Security. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Gestion de l'accès à votre dépôt

La première étape de la sécurisation d'un dépôt consiste à choisir qui peut voir et modifier votre code. Pour plus d'informations, consultez « Gestion des paramètres et fonctionnalités de votre dépôt ».

Dans la page principale de votre dépôt, cliquez sur Paramètres, puis faites défiler l'affichage jusqu'à la « Zone de danger ».

Gestion du graphe de dépendances

Les propriétaires de l’entreprise peuvent configurer le graphe des dépendances et Dependabot alerts pour une entreprise. Pour plus d’informations, consultez « Activation du graphe de dépendances pour votre entreprise » et « Activation de Dependabot pour votre entreprise ».

Pour plus d'informations, consultez « Exploration des dépendances d’un dépôt ».

Gestion des Dependabot alerts

Les Dependabot alerts sont générées quand GitHub identifie, dans le graphe de dépendances, une dépendance avec une vulnérabilité.

Pour obtenir une vue d’ensemble des différentes caractéristiques offertes par Dependabot et des instructions de prise en main, consultez « Guide de démarrage rapide Dependabot .»

Les propriétaires de l’entreprise peuvent configurer le graphe des dépendances et Dependabot alerts pour une entreprise. Pour plus d’informations, consultez « Activation du graphe de dépendances pour votre entreprise » et « Activation de Dependabot pour votre entreprise ».

Pour plus d'informations, consultez « À propos des alertes Dependabot.

Gestion de la révision des dépendances

La révision des dépendances vous permet de visualiser les modifications de dépendance dans les demandes de tirage (pull request) avant qu'elles ne soient fusionnées dans vos dépôts. Pour plus d'informations, consultez « À propos de la vérification des dépendances ».

La révision des dépendances est une fonctionnalité de GitHub Advanced Security. Pour activer la révision des dépendances pour un référentiel, vérifiez que le graphe des éléments dépendants est activé et activez GitHub Advanced Security.

  1. Dans la page principale de votre dépôt, cliquez sur Paramètres.
  2. Cliquez sur Sécurité et analyse.
  3. Vérifiez que le graphe des dépendances est configuré pour votre entreprise.
  4. Si GitHub Advanced Security n'est pas déjà activé, cliquez sur Activer.

Gestion des Dependabot security updates

Pour tout dépôt qui utilise des Dependabot alerts, vous pouvez activer les Dependabot security updates afin de déclencher des demandes de tirage avec des mises à jour de sécurité quand des vulnérabilités sont détectées.

  1. Dans la page principale de votre dépôt, cliquez sur Paramètres.
  2. Cliquez sur Sécurité et analyse.
  3. En regard de Dependabot security updates, cliquez sur Activer.

Pour plus d'informations, consultez « À propos des mises à jour de sécurité Dependabot » et « Configuration des mises à jour de sécurité Dependabot ».

Gestion des Dependabot version updates

Vous pouvez autoriser Dependabot à déclencher automatiquement des demandes de tirage afin de maintenir vos dépendances à jour. Pour plus d'informations, consultez « À propos des mises à jour de version Dependabot ».

Pour activer Dependabot version updates, vous devez créer un fichier config dependabot.yml. Pour plus d'informations, consultez « Configuration de mises à jour de version Dependabot ».

Configuration de l'code scanning

Vous pouvez configurer l'code scanning pour identifier automatiquement les vulnérabilités et les erreurs dans le code stocké dans votre dépôt à l'aide d'un Workflow d’analyse CodeQL ou d'un outil tiers. Pour plus d'informations, consultez « Définition de l’analyse du code ».

L'Code scanning est disponible pour les dépôts appartenant à une organisation si votre entreprise utilise GitHub Advanced Security.

Configuration de l'secret scanning

Secret scanning est disponible pour les référentiels détenus par l’organisation dans GitHub Enterprise Server si votre entreprise dispose d’une licence pour GitHub Advanced Security. Pour plus d’informations, consultez « À propos de l’analyse des secrets » et « À propos de GitHub Advanced Security ».

  1. Dans la page principale de votre dépôt, cliquez sur Paramètres.

  2. Cliquez sur Analyse et sécurité du code.

  3. Si GitHub Advanced Security n'est pas déjà activé, cliquez sur Activer.

  4. En regard de Secret scanning, cliquez sur Activer.

Définition d'une stratégie de sécurité

Si vous êtes un mainteneur de dépôt, il est recommandé de spécifier une stratégie de sécurité pour votre dépôt en créant un fichier nommé SECURITY.md dans le dépôt. Ce fichier indique aux utilisateurs comment vous contacter et collaborer avec vous lorsqu'ils souhaitent signaler des vulnérabilités de sécurité dans votre dépôt. Vous pouvez afficher la stratégie de sécurité d'un dépôt dans l'onglet Sécurité du dépôt.

  1. Dans la page principale de votre dépôt, cliquez sur Sécurité.
  2. Cliquez sur Stratégie de sécurité.
  3. Cliquez sur Démarrer la configuration.
  4. Ajoutez des informations sur les versions prises en charge de votre projet et sur la façon de signaler les vulnérabilités.

Pour plus d'informations, consultez « Ajout d’une stratégie de sécurité à votre dépôt ».

Étapes suivantes

Vous pouvez afficher et gérer les alertes à partir des fonctionnalités de sécurité pour résoudre les dépendances et les vulnérabilités dans votre code. Pour plus d’informations, consultez « Affichage et mise à jour des alertes Dependabot », « Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances », « Gestion des alertes d’analyse du code pour votre référentiel » et « Gestion des alertes à partir de l’analyse des secrets ».

Vous pouvez également utiliser les outils de GitHub pour auditer les réponses aux alertes de sécurité. Pour plus d'informations, consultez « Audit des alertes de sécurité ».

Si vous utilisez GitHub Actions, vous pouvez utiliser les fonctionnalités de sécurité de GitHub pour augmenter la sécurité de vos flux de travail. Pour plus d’informations, consultez « Utiliser les fonctions de sécurité de GitHub pour sécuriser votre utilisation des actions GitHub ».