Démarrage rapide pour la sécurisation de votre dépôt

Introduction

Ce guide vous montre comment configurer des fonctionnalités de sécurité pour un dépôt.

Vos besoins en matière de sécurité étant propres à votre dépôt, il ne vous est peut-être pas nécessaire d'activer chaque fonctionnalité pour celui-ci. Pour plus d’informations, consultez « Fonctionnalités de sécurité de GitHub ».

Certaines fonctionnalités sont disponibles pour les dépôts de tous les plans. Des fonctionnalités supplémentaires sont disponibles pour les organisations et les entreprises qui utilisent GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security. Les fonctionnalités GitHub Advanced Security sont également activées pour tous les référentiels publics sur GitHub. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Gestion de l'accès à votre dépôt

La première étape de la sécurisation d'un dépôt consiste à choisir qui peut voir et modifier votre code. Pour plus d’informations, consultez « Gestion des paramètres et fonctionnalités de votre dépôt ».

Depuis la page principale de votre référentiel, cliquez sur Paramètres, puis faites défiler vers le bas jusqu’à « Zone de danger ».

• Pour changer qui peut voir votre dépôt, cliquez sur Changer la visibilité. Pour plus d’informations, consultez « Définition de la visibilité du dépôt ».
• Pour changer qui peut accéder à votre dépôt et ajuster les autorisations, cliquez sur Gérer l'accès. Pour plus d’informations, consultez « Gestion des équipes et des personnes ayant accès à votre dépôt ».

Gestion du graphe de dépendances

Le graphe des dépendances est généré automatiquement pour tous les dépôts publics. Vous pouvez choisir de l’activer pour les duplications (forks) et pour les dépôts privés. Le graphe des dépendances interprète les fichiers manifeste et de verrouillage dans un dépôt pour identifier les dépendances.

1. Dans la page principale de votre référentiel, cliquez sur Paramètres.
2. Cliquez sur Advanced Security.
3. En regard du graphe de dépendances, cliquez sur Activer ou Désactiver.

Pour plus d’informations, consultez « Exploration des dépendances d’un dépôt ».

Gestion des Dependabot alerts

Les Dependabot alerts sont générées quand GitHub identifie, dans le graphe de dépendances, une dépendance avec une vulnérabilité. Vous pouvez activer les Dependabot alerts pour n'importe quel dépôt.

En outre, vous pouvez utiliser Règles de triage automatique de Dependabot pour gérer vos alertes à l’échelle, pour pouvoir ignorer automatiquement ou désactiver temporairement les alertes, et spécifier les alertes pour lesquelles vous souhaitez que Dependabot ouvre les demandes de tirage. Pour plus d’informations sur les différents types de règles de triage automatique et pour savoir si vos référentiels sont éligibles, consultez À propos des règles de triage automatique de Dependabot.

Pour obtenir une vue d’ensemble des différentes caractéristiques offertes par Dependabot et des instructions de prise en main, consultez Guide de démarrage rapide Dependabot.

1. Cliquez sur votre photo de profil, puis sur Paramètres.
2. Cliquez sur Advanced Security.
3. Cliquez sur Activer à côté de Dependabot alerts.

Pour plus d’informations, consultez À propos des alertes Dependabot et Gestion des paramètres de sécurité et d’analyse pour votre compte personnel.

Gestion de la révision des dépendances

La révision des dépendances vous permet de visualiser les modifications de dépendance dans les demandes de tirage (pull request) avant qu'elles ne soient fusionnées dans vos dépôts. Pour plus d’informations, consultez « À propos de la vérification des dépendances ».

La révision des dépendances est une fonctionnalité de GitHub Code Security. La révision des dépendances est activée pour tous les référentiels avec le graphe des dépendances activé. Les organisations qui utilisent GitHub Team ou GitHub Enterprise Cloud avec GitHub Code Security peuvent également activer la révision des dépendances pour les référentiels privés et internes.

Pour activer la révision des dépendances d’un référentiel, assurez-vous que le graphe des dépendances est activé et activez GitHub Code Security.

1. Dans la page principale de votre référentiel, cliquez sur Paramètres.
2. Cliquez sur Advanced Security.
3. À droite de Code Security, cliquez sur Activer.
4. Sous Code Security, vérifiez que le graphe des dépendances est activé pour le référentiel.

Gestion des Dependabot security updates

Pour tout dépôt qui utilise des Dependabot alerts, vous pouvez activer les Dependabot security updates afin de déclencher des demandes de tirage avec des mises à jour de sécurité quand des vulnérabilités sont détectées.

1. Dans la page principale de votre référentiel, cliquez sur Paramètres.
2. Cliquez sur Advanced Security.
3. En regard de Dependabot security updates, cliquez sur Activer.

Pour plus d’informations, consultez « À propos des mises à jour de sécurité Dependabot » et « Configuration des mises à jour de sécurité Dependabot ».

Gestion des Dependabot version updates

Vous pouvez autoriser Dependabot à déclencher automatiquement des demandes de tirage afin de maintenir vos dépendances à jour. Pour plus d’informations, consultez « À propos des mises à jour de version Dependabot ».

1. Dans la page principale de votre référentiel, cliquez sur Paramètres.
2. Cliquez sur Advanced Security.
3. À côté de Dependabot version updates, cliquez sur Activer pour créer un fichier config dependabot.yml.
4. Spécifiez les dépendances à mettre à jour et toutes les options de configuration associées, puis validez le fichier dans le référentiel. Pour plus d’informations, consultez « Configuration de mises à jour de version Dependabot ».

Configuration de Code Security

GitHub Code Security comprend code scanning, CodeQL CLI et Correctif automatique Copilot, ainsi que d'autres fonctionnalités qui détectent et corrigent les vulnérabilités dans votre base de code.

Vous pouvez configurer l’code scanning pour identifier automatiquement les vulnérabilités et les erreurs dans le code stocké dans votre dépôt en utilisant un Workflow d’analyse CodeQL ou un outil tiers. Selon les langages de programmation de votre référentiel, vous pouvez configurer code scanning avec CodeQL en utilisant la configuration par défaut, dans laquelle GitHub détermine automatiquement les langages à analyser, les suites de requêtes à exécuter et les événements qui déclencheront une nouvelle analyse. Pour plus d’informations, consultez « Définition de la configuration par défaut pour l’analyse du code ».

1. Dans la page principale de votre référentiel, cliquez sur Paramètres.
2. Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.
3. Si « Code Security » ou « GitHub Advanced Security » n’est pas déjà activé, cliquez sur Activer.
4. À droite de « Analyse CodeQL », sélectionnez Configurer , puis cliquez sur Par défaut.
5. Dans la fenêtre contextuelle qui s’affiche, passez en revue les paramètres de configuration par défaut de votre référentiel, puis cliquez sur Activer CodeQL.
6. Choisissez si vous souhaitez activer des fonctionnalités supplémentaires, telles que Correctif automatique Copilot.

Au lieu de la configuration par défaut, vous pouvez utiliser la configuration avancée, qui génère un fichier de flux de travail que vous pouvez modifier pour personnaliser vos code scanning avec CodeQL. Pour plus d’informations, consultez « Configuration de la configuration par défaut pour l’analyse du code ».

Configuration de Secret Protection

GitHub Secret Protection inclut secret scanning et la protection d’envoi (push), ainsi que d’autres fonctionnalités qui vous aident à détecter et à empêcher les fuites de secrets dans votre référentiel.

1. Dans la page principale de votre référentiel, cliquez sur Paramètres.
2. Cliquez sur Advanced Security.
3. Si « Secret Protection » ou « GitHub Advanced Security » n’est pas déjà activé, cliquez sur Activer.
4. Si l’option « Secret scanning » s’affiche, cliquez sur Activer.
5. Choisissez si vous souhaitez activer des fonctionnalités supplémentaires, telles que l’analyse des modèles non-fournisseurs et la protection d’envoi (push).

Définition d'une stratégie de sécurité

Si vous êtes un mainteneur de dépôt, il est recommandé de spécifier une stratégie de sécurité pour votre dépôt en créant un fichier nommé SECURITY.md dans le dépôt. Ce fichier indique aux utilisateurs comment vous contacter et collaborer avec vous lorsqu'ils souhaitent signaler des vulnérabilités de sécurité dans votre dépôt. Vous pouvez afficher la stratégie de sécurité d'un dépôt dans l'onglet Sécurité du dépôt.

1. Depuis la page principale de votre référentiel, cliquez sur Sécurité.
2. Dans la barre latérale gauche, sous « Rapports », cliquez sur Stratégie.
3. Cliquez sur Démarrer la configuration.
4. Ajoutez des informations sur les versions prises en charge de votre projet et sur la façon de signaler les vulnérabilités.

Pour plus d’informations, consultez « Ajout d’une stratégie de sécurité à votre dépôt ».

Étapes suivantes

Vous pouvez afficher et gérer les alertes à partir des fonctionnalités de sécurité pour résoudre les dépendances et les vulnérabilités dans votre code. Pour plus d’informations, consultez Affichage et mise à jour des alertes Dependabot, Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances, Évaluation des alertes d’analyse du code pour votre référentiel et Gestion des alertes à partir de l’analyse des secrets.

Vous pouvez également utiliser les outils de GitHub pour auditer les réponses aux alertes de sécurité. Pour plus d’informations, consultez « Audit des alertes de sécurité ».

Si vous détectez une faille de sécurité dans un référentiel public, vous pouvez créer un avis de sécurité pour examiner et corriger la faille en privé. Pour plus d’informations, consultez « À propos des avis de sécurité des référentiels » et « Création d’un avis de sécurité de dépôt ».

Si vous utilisez GitHub Actions, vous pouvez utiliser les fonctionnalités de sécurité de GitHub pour augmenter la sécurité de vos flux de travail. Pour plus d’informations, consultez « Informations de référence sur l’utilisation sécurisée ».