Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.

Gestion des paramètres de sécurité et d’analyse pour votre organisation

Dans cet article

Vous pouvez contrôler les fonctionnalités qui sécurisent et analysent le code des projets de votre organisation sur GitHub.

Qui peut utiliser cette fonctionnalité

Organization owners can manage security and analysis settings for repositories in the organization.

À propos de la gestion des paramètres de sécurité et d’analyse

GitHub peut vous aider à sécuriser les dépôts dans votre organisation. Vous pouvez gérer les fonctionnalités de sécurité et d’analyse pour tous les dépôts existants ou nouveaux que les membres créent dans votre organisation. Les organisations qui utilisent GitHub Enterprise Cloud avec une licence pour GitHub Advanced Security peuvent également gérer l’accès à ces fonctionnalités. Pour plus d’informations, consultez la documentation GitHub Enterprise Cloud.

Remarque : vous ne pouvez pas désactiver certaines fonctionnalités de sécurité et d’analyse activées par défaut pour des dépôts publics.

Si vous activez les fonctionnalités de sécurité et d’analyse, GitHub effectue une analyse en lecture seule sur votre dépôt. Pour plus d’informations, consultez « [À propos de l’utilisation de vos données par GitHub](/github/understanding-how-github-uses-and-protects-your-data/about-githubs-use-of-your-data) ».

Affichage des paramètres de sécurité et d’analyse

  1. Dans l’angle supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos organisations. Vos organisations dans le menu Profil 2. En regard de l’organisation, cliquez sur Paramètres. Le bouton Paramètres
  2. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

La page affichée vous permet d’activer ou de désactiver toutes les fonctionnalités de sécurité et d’analyse pour les dépôts de votre organisation.

Activation ou désactivation d’une fonctionnalité pour tous les référentiels existants

Vous pouvez activer ou désactiver des fonctionnalités pour tous les dépôts. L’impact de vos modifications sur les dépôts de votre organisation est déterminé par leur visibilité :

  • Graphe des dépendances : vos modifications affectent seulement les dépôts privés, car la fonctionnalité est toujours activée pour les dépôts publics.
  • Dependabot alerts  : vos modifications affectent tous les dépôts.
  • Dependabot security updates  : vos modifications affectent tous les dépôts.
  1. Accédez aux paramètres de sécurité et d’analyse pour votre organisation. Pour plus d’informations, consultez « Affichage des paramètres de sécurité et d’analyse ».
  2. Sous « Sécurité et analyse du code », à droite de la fonctionnalité, cliquez sur Désactiver tout ou Activer tout. Bouton « Activer tout » ou « Désactiver tout » pour les fonctionnalités « Configurer la sécurité et l’analyse »
  3. Si vous le souhaitez, activez la fonctionnalité par défaut pour les nouveaux dépôts dans votre organisation. Bouton « Activer par défaut » pour les nouveaux dépôts
  4. Cliquez sur Désactiver la FONCTIONNALITÉ ou Activer la FONCTIONNALITÉ pour désactiver ou activer la fonctionnalité pour tous les dépôts dans votre organisation. Bouton pour désactiver ou activer la fonctionnalité

Quand vous activez une ou plusieurs fonctionnalités de sécurité et d’analyse pour les dépôts existants, tous les résultats s’affichent sur GitHub en quelques minutes :

  • Tous les dépôts existants reçoivent la configuration sélectionnée.
  • Les nouveaux dépôts suivent la configuration sélectionnée si vous avez coché la case pour les nouveaux dépôts.
  • Nous utilisons les autorisations pour rechercher les fichiers manifeste et appliquer les services appropriés.
  • Si l’option est activée, vous voyez les informations de dépendance dans le graphe des dépendances.
  • Si l’option est activée, GitHub génère des Dependabot alerts s’il existe des dépendances vulnérables ou des programmes malveillants.
  • Si l’option est activée, les mises à jour de sécurité Dependabot créent des demandes de tirage pour mettre à niveau les dépendances vulnérables quand des Dependabot alerts sont déclenchées.

Activation ou désactivation automatique d’une fonctionnalité quand de nouveaux dépôts sont ajoutés

  1. Accédez aux paramètres de sécurité et d’analyse pour votre organisation. Pour plus d’informations, consultez « Affichage des paramètres de sécurité et d’analyse ».
  2. Sous « Sécurité et analyse du code », à droite de la fonctionnalité, activez ou désactivez la fonctionnalité par défaut pour les nouveaux dépôts ou pour tous les nouveaux dépôts privés dans votre organisation. Capture d’écran d’une case à cocher pour activer une fonctionnalité pour les nouveaux dépôts

Autoriser Dependabot à accéder aux dépendances privées

Dependabot peut vérifier les références de dépendance obsolètes dans un projet et générer automatiquement une demande de tirage pour les mettre à jour. Pour cela, Dependabot doit avoir accès à tous les fichiers de dépendance ciblés. En règle générale, les mises à jour de version échouent si une ou plusieurs dépendances sont inaccessibles. Pour plus d’informations, consultez « À propos des mises à jour de version de Dependabot ».

Par défaut, Dependabot ne peut pas mettre à jour les dépendances qui se trouvent dans des dépôts privés ou des registres de packages privés. Cependant, si une dépendance se trouve dans un dépôt GitHub privé au sein de la même organisation que le projet qui utilise cette dépendance, vous pouvez autoriser Dependabot à mettre à jour correctement la version en lui donnant accès au dépôt hôte.

Si votre code dépend de packages dans un registre privé, vous pouvez autoriser Dependabot à mettre à jour les versions de ces dépendances en configurant cela au niveau du dépôt. Pour cela, ajoutez des détails d’authentification au fichier dependabot.yml pour le dépôt. Pour plus d’informations, consultez « Options de configuration pour le fichier dependabot.yml ».

Pour autoriser Dependabot à accéder à un dépôt GitHub privé :

  1. Accédez aux paramètres de sécurité et d’analyse pour votre organisation. Pour plus d’informations, consultez « Affichage des paramètres de sécurité et d’analyse ».

  2. Sous « Accès de Dependabot à un dépôt privé », cliquez sur Ajouter des dépôts privés ou Ajouter des dépôts internes et privés. Bouton Ajouter des dépôts

  3. Commencez à taper le nom du dépôt que vous souhaitez autoriser. Champ de recherche de dépôts avec une liste déroulante filtrée

  4. Cliquez sur le dépôt que vous souhaitez autoriser.

  5. Si vous le souhaitez, pour supprimer un dépôt de la liste, à la droite du dépôt, cliquez sur . Bouton « X » pour supprimer un dépôt

Pour aller plus loin