GitHub AE est actuellement en version limitée.

Sécurisation de votre dépôt

Dans cet article

Vous pouvez utiliser un certain nombre de fonctionnalités GitHub pour sécuriser votre référentiel.

Qui peut utiliser cette fonctionnalité

Repository administrators and organization owners can configure repository security settings.

Introduction

Ce guide vous montre comment configurer des fonctionnalités de sécurité pour un dépôt. Vous devez être administrateur de dépôt ou propriétaire d’organisation pour configurer les paramètres de sécurité d’un dépôt.

Vos besoins en matière de sécurité étant propres à votre dépôt, il ne vous est peut-être pas nécessaire d’activer chaque fonctionnalité pour celui-ci. Pour plus d’informations, consultez « Fonctionnalités de sécurité de GitHub ».

Certaines fonctionnalités sont disponibles pour tous les dépôts. Des fonctionnalités supplémentaires sont disponibles pour les entreprises qui utilisent GitHub Advanced Security. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Gestion de l’accès à votre dépôt

La première étape de la sécurisation d’un dépôt consiste à choisir qui peut voir et modifier votre code. Pour plus d’informations, consultez « Gestion des paramètres et fonctionnalités de votre dépôt ».

Dans la page principale de votre dépôt, cliquez sur Paramètres, puis faites défiler l’affichage jusqu’à la « Zone de danger ».

Gestion du graphe de dépendances

Les propriétaires de l’entreprise peuvent configurer Dependabot alerts pour une entreprise. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».

Pour plus d’informations, consultez « Exploration des dépendances d’un dépôt ».

Gestion des Dependabot alerts

Les Dependabot alerts sont générées quand GitHub identifie, dans le graphe de dépendances, une dépendance avec une vulnérabilité.

Remarque : Dependabot alerts est actuellement en version bêta et sujette à modification.

Les propriétaires de l’entreprise peuvent configurer Dependabot alerts pour une entreprise. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».

Pour plus d’informations, consultez « À propos des alertes Dependabot.

Gestion de la révision des dépendances

La révision des dépendances vous permet de visualiser les modifications de dépendance dans les demandes de tirage (pull request) avant qu’elles ne soient fusionnées dans vos dépôts. Pour plus d’informations, consultez « À propos de la vérification des dépendances ».

La révision des dépendances est une fonctionnalité de GitHub Advanced Security. Pour activer la révision des dépendances pour un dépôt, vérifiez que le graphe de dépendances est activé et activez GitHub Advanced Security.

  1. Dans la page principale de votre dépôt, cliquez sur Paramètres.
  2. Cliquez sur Sécurité et analyse.
  3. Vérifiez que le graphe de dépendances est configuré pour votre entreprise.
  4. Si GitHub Advanced Security n’est pas déjà activé, cliquez sur Activer.

Configuration de l’code scanning

Vous pouvez configurer l’code scanning pour identifier automatiquement les vulnérabilités et les erreurs dans le code stocké dans votre dépôt à l’aide d’un Workflow d’analyse CodeQL ou d’un outil tiers. Pour plus d’informations, consultez « Définition de l’analyse du code ».

L’Code scanning est disponible pour les dépôts appartenant à une organisation si votre entreprise utilise GitHub Advanced Security.

Configuration de l’secret scanning

Secret scanning est disponible pour les référentiels appartenant à l’organisation dans GitHub AE. Il s’agit d’une fonctionnalité de GitHub Advanced Security (gratuite avec la version bêta).

  1. Dans la page principale de votre dépôt, cliquez sur Paramètres.

  2. Cliquez sur Analyse et sécurité du code.

  3. Si GitHub Advanced Security n’est pas déjà activé, cliquez sur Activer.

  4. En regard de Secret scanning, cliquez sur Activer.

Définition d’une stratégie de sécurité

Si vous êtes un mainteneur de dépôt, il est recommandé de spécifier une stratégie de sécurité pour votre dépôt en créant un fichier nommé SECURITY.md dans le dépôt. Ce fichier indique aux utilisateurs comment vous contacter et collaborer avec vous lorsqu’ils souhaitent signaler des vulnérabilités de sécurité dans votre dépôt. Vous pouvez afficher la stratégie de sécurité d’un dépôt dans l’onglet Sécurité du dépôt.

  1. Dans la page principale de votre dépôt, cliquez sur Sécurité.
  2. Cliquez sur Stratégie de sécurité.
  3. Cliquez sur Démarrer la configuration.
  4. Ajoutez des informations sur les versions prises en charge de votre projet et sur la façon de signaler les vulnérabilités.

Pour plus d’informations, consultez « Ajout d’une stratégie de sécurité à votre dépôt ».

Étapes suivantes

Vous pouvez afficher et gérer les alertes à partir des fonctionnalités de sécurité pour résoudre les dépendances et les vulnérabilités dans votre code. Pour plus d’informations, consultez « Gestion des alertes d’analyse du code pour votre référentiel » et « Gestion des alertes à partir de l’analyse des secrets ».

Vous pouvez également utiliser les outils de GitHub pour auditer les réponses aux alertes de sécurité. Pour plus d’informations, consultez « Audit des alertes de sécurité ».