à propos des stratégies de sécurité
Pour donner des instructions aux personnes qui souhaitent signaler des failles de sĂ©curitĂ© dans votre projet, vous pouvez ajouter un fichier SECURITY.md Ă la racine de votre rĂ©fĂ©rentiel, docs, ou au dossier .github. L'ajout de ce fichier Ă cette (ces) partie(s) de votre rĂ©fĂ©rentiel crĂ©e automatiquement une ligne avec une description oĂč les gens peuvent le consulter. Quand quelquâun crĂ©e un problĂšme dans votre rĂ©fĂ©rentiel, il voit un lien vers la stratĂ©gie de sĂ©curitĂ© de votre projet.
Vous pouvez crĂ©er une stratĂ©gie de sĂ©curitĂ© par dĂ©faut pour votre organisation ou votre compte personnel. Pour plus dâinformations, consultez « CrĂ©ation dâun fichier dâintĂ©gritĂ© de la communautĂ© par dĂ©faut ».
Conseil
Pour aider les utilisateurs Ă trouver votre stratĂ©gie de sĂ©curitĂ©, vous pouvez crĂ©er un lien vers votre fichier SECURITY.md Ă partir dâautres emplacements dans votre rĂ©fĂ©rentiel, par exemple votre fichier README. Pour plus dâinformations, consultez « Ă propos des README ».
Une fois quâun utilisateur a signalĂ© une vulnĂ©rabilitĂ© de sĂ©curitĂ© dans votre projet, vous pouvez utiliser GitHub Security Advisories pour divulguer, corriger et publier les informations sur la vulnĂ©rabilitĂ©. Pour plus dâinformations sur le processus de signalement et de divulgation de vulnĂ©rabilitĂ©s dans GitHub, consultez Ă propos de la divulgation coordonnĂ©e des vulnĂ©rabilitĂ©s de sĂ©curitĂ©. Pour plus dâinformations sur les avis de sĂ©curitĂ© des rĂ©fĂ©rentiels, consultez Ă propos des avis de sĂ©curitĂ© des rĂ©fĂ©rentiels.
Vous pouvez également rejoindre GitHub Security Lab pour parcourir les rubriques liées à la sécurité et contribuer aux outils et projets de sécurité.
Pour obtenir un exemple de fichier SECURITY.md réel, consultez https://github.com/electron/electron/blob/main/SECURITY.md.
Ajout dâune stratĂ©gie de sĂ©curitĂ© Ă votre dĂ©pĂŽt
-
Sur GitHub, accédez à la page principale du référentiel.
-
Sous le nom du dĂ©pĂŽt, cliquez sur SĂ©curitĂ©. Si vous ne voyez pas lâonglet « SĂ©curitĂ© », sĂ©lectionnez le menu dĂ©roulant et cliquez sur SĂ©curitĂ©.
-
Dans la barre latérale gauche, sous « Rapports », cliquez sur Stratégie .
-
Cliquez sur DĂ©marrer la configuration.
-
Dans le nouveau fichier
SECURITY.md, ajoutez des informations sur les versions prises en charge de votre projet et sur la façon de signaler une vulnérabilité. -
Cliquez sur Commiter les changements.
-
Dans le champ de message de validation, tapez un message de validation court et descriptif qui indique la modification que vous avez apportĂ©e au fichier. Vous pouvez attribuer la validation Ă plusieurs auteurs dans le message de validation. Pour plus dâinformations, consultez « CrĂ©ation dâune validation avec plusieurs auteurs ».
-
Si vous avez plusieurs adresses e-mail associĂ©es Ă votre compte sur GitHub, cliquez sur le menu dĂ©roulant dâadresses e-mail et sĂ©lectionnez lâadresse e-mail Ă utiliser comme adresse e-mail de lâauteur Git. Seules les adresses e-mail vĂ©rifiĂ©es apparaissent dans ce menu dĂ©roulant. Si vous avez activĂ© la confidentialitĂ© de lâadresse e-mail, le mode sans rĂ©ponse sera utilisĂ© par dĂ©faut pour lâadresse e-mail de lâauteur de commit. Pour plus dâinformations sur la forme exacte que lâadresse e-mail sans rĂ©ponse peut prendre, consultez DĂ©finition de votre adresse e-mail de commit.
-
Sous les champs de message de commit, choisissez si vous souhaitez ajouter votre commit Ă la branche actuelle ou Ă une nouvelle branche. Si votre branche actuelle est la branche par dĂ©faut, vous devez choisir de crĂ©er une branche pour votre validation, puis de crĂ©er une demande de tirage (pull request). Pour plus dâinformations, consultez « CrĂ©ation dâune demande de tirage ».
-
Cliquez sur Valider les modifications ou Proposer des modifications.
