Skip to main content

Gestion des paramètres de sécurité et d'analyse pour votre organisation

Vous pouvez contrôler les fonctionnalités qui sécurisent et analysent le code des projets de votre organisation sur GitHub.

Qui peut utiliser cette fonctionnalité ?

Organization owners can manage security and analysis settings for repositories in the organization.

À propos de la gestion des paramètres de sécurité et d'analyse

GitHub peut vous aider à sécuriser les dépôts dans votre organisation. Vous pouvez gérer les fonctionnalités de sécurité et d'analyse pour tous les dépôts existants ou nouveaux que les membres créent dans votre organisation. Les organisations qui utilisent GitHub Enterprise Cloud avec une licence pour GitHub Advanced Security peuvent également gérer l'accès à ces fonctionnalités. Pour plus d'informations, consultez la documentation GitHub Enterprise Cloud.

Remarque : vous ne pouvez pas désactiver certaines fonctionnalités de sécurité et d’analyse activées par défaut pour des dépôts publics.

Vous pouvez rapidement activer des fonctionnalités de sécurité à grande échelle avec la GitHub-recommended security configuration, une collection de paramètres d’activation de sécurité que vous pouvez appliquer aux référentiels d’une organisation. Vous pouvez ensuite personnaliser davantage les fonctionnalités de GitHub Advanced Security au niveau de l’organisation avec les global settings. Consultez « À propos de l'activation des fonctionnalités de sécurité à grande échelle ».

Remarque : Security configurations et global settings sont actuellement en version bêta et susceptibles d’être modifiés.

Si vous activez les fonctionnalités de sécurité et d’analyse, GitHub effectue une analyse en lecture seule sur votre dépôt.

Affichage des paramètres de sécurité et d'analyse

  1. Dans l’angle supérieur droit de GitHub.com, sélectionnez votre photo de profil, puis sur Vos organisations.

    Capture d’écran du menu déroulant sous l’image de profil de @octocat. « Vos organisations » est présenté en orange foncé.

  2. En regard de l’organisation, cliquez sur Paramètres.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

La page affichée vous permet d'activer ou de désactiver toutes les fonctionnalités de sécurité et d'analyse pour les dépôts de votre organisation.

Activation ou désactivation d'une fonctionnalité pour tous les référentiels existants

Vous pouvez activer ou désactiver des fonctionnalités pour tous les dépôts. L'impact de vos modifications sur les dépôts de votre organisation est déterminé par leur visibilité :

  • Rapports de vulnérabilité privés : vos modifications affectent uniquement les dépôts publics.
  • Graphe des dépendances : vos modifications affectent seulement les dépôts privés, car la fonctionnalité est toujours activée pour les dépôts publics.
  • Dependabot alerts  : vos modifications affectent tous les dépôts.
  • Dependabot security updates  : vos modifications affectent tous les dépôts.
  • Secret scanning  : vos modifications affectent les référentiels publics et les packages npm publics dont ces référentiels peuvent dépendre. Cette option permet de contrôler si les alertes d’analyse des secrets pour les utilisateurs sont activées. Alertes d’analyse des secrets pour les partenaires s'exécute toujours sur tous les dépôts publics.
  • Code scanning - Vos modifications affectent les référentiels publics. Pour obtenir des informations sur les référentiels éligibles, consultez « Définition de la configuration par défaut pour l’analyse du code à grande échelle ». Pour les dépôts qui ne sont pas éligibles pour la configuration par défaut, vous pouvez définir une configuration avancée au niveau du dépôt. Pour plus d'informations, consultez « Définition de la configuration avancée pour l’analyse du code ».
  1. Accédez aux paramètres de sécurité et d'analyse pour votre organisation. Pour plus d'informations, consultez « Affichage des paramètres de sécurité et d'analyse ».

  2. Sous « Sécurité et analyse du code », à droite de la fonctionnalité, cliquez sur Tout désactiver ou Tout activer pour afficher une boîte de dialogue de confirmation.

  3. Passez en revue les informations de la boîte de dialogue.

  4. Si vous choisissez d'activer les rapports de vulnérabilité privés, le graphe des dépendances ou Dependabot, sélectionnez **Activer par défaut pour les nouveaux référentiels privés et **.

    Capture d'écran de la boîte de dialogue modale « Activer FONCTIONNALITÉ », avec l'option « Activer par défaut pour les nouveaux dépôts privés » mise en évidence avec un encadré orange foncé.

  5. Lorsque vous êtes prêt à apporter des changements, cliquez sur Désactiver FONCTIONNALITÉ ou Activer FONCTIONNALITÉ pour désactiver ou activer la fonctionnalité pour tous les dépôts de votre organisation.

  6. Vous pouvez également sélectionner des paramètres d'activation supplémentaires dans la section des paramètres de sécurité et d'analyse relative à votre fonctionnalité. Les paramètres d'activation supplémentaires peuvent inclure :

    • Activation automatique pour un type spécifique de référentiel
    • Paramètres spécifiques aux fonctionnalités, comme la recommandation de la suite de requêtes étendue pour code scanning l'installation par défaut dans toute votre organisation, ou la validation automatique du secret pour secret scanning

Remarques :

  • Si vous désactivez CodeQL code scanning pour tous les référentiels, cette modification ne sera pas visible dans les informations de couverture affichées dans la vue d’ensemble de la sécurité de l’organisation. Les dépôts semblent toujours avoir l’code scanning activée dans la vue « Couverture de sécurité ».
  • L'activation de code scanning pour tous les dépôts éligibles d'une organisation ne va pas remplacer les configurations d'code scanning existantes. Pour plus d'informations sur la définition de la configuration par défaut avec des paramètres différents pour des dépôts spécifiques, consultez « Définition de la configuration par défaut pour l’analyse du code ».

Quand vous activez une ou plusieurs fonctionnalités de sécurité et d’analyse pour les dépôts existants, tous les résultats s’affichent sur GitHub en quelques minutes :

  • Tous les dépôts existants reçoivent la configuration sélectionnée.
  • Les nouveaux dépôts suivent la configuration sélectionnée si vous avez coché la case pour les nouveaux dépôts.
  • Nous utilisons les autorisations pour rechercher les fichiers manifeste et appliquer les services appropriés.
  • Si l’option est activée, vous voyez les informations de dépendance dans le graphe des dépendances.
  • Si l’option est activée, GitHub génère des Dependabot alerts s’il existe des dépendances vulnérables ou des programmes malveillants.
  • Si l’option est activée, les mises à jour de sécurité Dependabot créent des demandes de tirage (pull requests) pour changer de niveau les dépendances vulnérables quand des Dependabot alerts sont déclenchées.

Activation ou désactivation automatique d'une fonctionnalité quand de nouveaux dépôts sont ajoutés

  1. Accédez aux paramètres de sécurité et d'analyse pour votre organisation. Pour plus d'informations, consultez « Affichage des paramètres de sécurité et d'analyse ».
  2. Sous « Sécurité et analyse du code », recherchez la fonctionnalité, activez ou désactivez la fonctionnalité par défaut pour les nouveaux référentiels , ou pour tous les nouveaux référentiels privés dans votre organisation.

Autoriser Dependabot à accéder aux dépendances privées

Dependabot peut vérifier les références de dépendance obsolètes dans un projet et générer automatiquement une demande de tirage pour les mettre à jour. Pour cela, Dependabot doit avoir accès à tous les fichiers de dépendance ciblés. En règle générale, les mises à jour de version échouent si une ou plusieurs dépendances sont inaccessibles. Pour plus d’informations, consultez « À propos des mises à jour de version Dependabot ».

Par défaut, Dependabot ne peut pas mettre à jour les dépendances qui sont situées dans des dépôts privés, ou des registres de paquets privés. Cependant, si une dépendance se trouve dans un dépôt privé GitHub dans la même organisation que le projet qui utilise cette dépendance, vous pouvez permettre à Dependabot de mettre à jour la version avec succès en lui donnant accès au référentiel hôte.

Si votre code dépend de packages dans un registre privé, vous pouvez autoriser Dependabot à mettre à jour les versions de ces dépendances en configurant cela au niveau du référentiel. Pour cela, ajoutez des détails d'authentification au fichier dependabot.yml pour le dépôt. Pour plus d'informations, consultez « Options de configuration pour le fichier dependabot.yml ».

Pour autoriser Dependabot à accéder à un dépôt privé GitHub :

  1. Accédez aux paramètres de sécurité et d'analyse pour votre organisation. Pour plus d'informations, consultez « Affichage des paramètres de sécurité et d'analyse ».

  2. Sous « Accorder Dependabot l'accès au dépôt privé », cliquez sur Ajouter des dépôts privés pour afficher un champ de recherche de dépôt.

    Capture d'écran de la liste déroulante que vous pouvez utiliser pour rechercher des référentiels. À mesure que vous tapez, les référentiels dont le nom correspond à vos critères de recherche s'affichent dans la liste. Le champ de texte de recherche est mis en évidence dans un cadre orange foncé.

  3. Commencez à taper le nom du dépôt auquel vous souhaitez accorder l'accès à Dependabot.

  4. Une liste de dépôts correspondants dans l'organisation s'affiche. Cliquez sur le dépôt auquel vous souhaitez autoriser l'accès, ce qui ajoute le dépôt à la liste d'autorisation.

  5. Si vous le souhaitez, pour supprimer un dépôt de la liste, à la droite du dépôt, cliquez sur .

Pour aller plus loin