Audit des alertes de sécurité

À propos des outils de sécurité pour les auditeurs

GitHub fournit des outils permettant aux auditeurs et aux développeurs de sécurité d’examiner et d’analyser les réponses aux alertes de sécurité au sein d’une entreprise ou d’une organisation. Ce guide décrit les outils, qui incluent les chronologies historiques, la vue d’ensemble de la sécurité, les journaux d’audit, l’API et les webhooks.

Les auditeurs de sécurité peuvent utiliser ces outils pour s’assurer que les actions appropriées sont prises pour résoudre les alertes de sécurité et identifier les différentes formations éventuelles possibles. Les développeurs peuvent utiliser ces outils pour analyser et déboguer leurs propres alertes de sécurité. Vous verrez uniquement les données des référentiels et des organisations auxquelles vous avez déjà accès.

Chronologie des alertes de sécurité

Chaque alerte de sécurité a une chronologie historique qui indique quand l’alerte a été créée ou quand un problème a été détecté. Lorsque l’état d’une alerte change, celui-ci est enregistré dans la chronologie, quelle que soit la cause de la modification, par exemple, Dependabot fermant une alerte fixe et un développeur rouvrant une alerte. Vous pouvez voir la chronologie historique d’une alerte sur la page d’alerte sous la description du problème.

La plupart des événements de la chronologie créent également un événement dans le journal d’audit, que vous pouvez interroger à l’aide de l’interface utilisateur du journal d’audit ou de l’API. Pour plus d’informations, consultez Journal d'audit.

Page de présentation de la sécurité

La vue d’ensemble de la sécurité regroupe les informations sur les alertes de sécurité et fournit des résumés globaux de l’état de sécurité de votre entreprise ou organisation.

Dans la vue d’ensemble de la sécurité, vous pouvez voir les référentiels avec des alertes de sécurité ouvertes, ainsi que les référentiels qui ont activé des fonctionnalités de sécurité spécifiques. Vous pouvez également utiliser la vue d’ensemble de la sécurité pour filtrer et trier les alertes de sécurité en utilisant des vues interactives.

Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ».

Journal d’audit

Vous pouvez accéder aux journaux d’audit et les rechercher à l’aide de l’API ou de l’interface utilisateur du journal d’audit. Le journal d’audit répertorie les événements qui sont déclenchés par des activités affectant votre entreprise ou votre organisation, y compris les événements créés lors de certaines interactions avec une alerte de sécurité. Les interactions qui créent un événement peuvent être déclenchées manuellement ou par automatisation, par exemple, lorsque Dependabot crée une alerte.

• Les événements Secret scanning suivent le moment où une alerte est créée, résolue ou rouverte, ainsi que lorsque la protection push est contournée.
• Les événements Dependabot suivent quand une alerte est créée, ignorée ou résolue.
• Code scanning ne crée pas d’événement de chronologie dans un journal d’audit.

Pour obtenir une liste des événements du journal d’audit, consultez Événements du journal d’audit pour votre entreprise et Événements du journal d’audit pour votre organisation.

Pour plus d’informations sur l’accès au journal d’audit de votre entreprise ou organisation, consultez Accès au journal d’audit de votre entreprise et Examen du journal d’audit de votre organisation.

Vous pouvez également diffuser en continu des données d’audit de GitHub vers un système de gestion des données externe, ce qui vous permet d’analyser et de collecter des données pour les graphiques internes. Les propriétaires d’entreprise peuvent configurer le streaming de journaux d’audit. Pour plus d’informations, consultez Streaming de journaux d’audit pour votre entreprise.

Webhooks

Vous pouvez configurer des webhooks code_scanning_alert, dependabot_alert et secret_scanning_alert pour recevoir des charges utiles chaque fois qu’il y a une réponse à une alerte de sécurité dans une organisation ou un référentiel. Vous pouvez également définir les réponses sur lesquelles agir, par exemple, vous pouvez définir un webhook qui suit les alertes secret scanning créées lorsque quelqu’un contourne la protection push à l’aide de la propriété "push_protection_bypassed": true de l’alerte.

Vous pouvez également intégrer des charges utiles de webhook à d’autres outils que vous utilisez pour surveiller et informer les comportements de sécurité. Par exemple, un webhook se déclenche lorsqu’une alerte secrète est créée, résolue, révoquée, rouverte ou lorsque l’état de validité d’un secret change. Vous pouvez ensuite analyser la charge utile de webhook et l’intégrer aux outils que votre équipe utilise, par exemple Slack, Microsoft Teams, Splunk ou les e-mails. Pour plus d’informations, consultez À propos des webhooks et Événements et charges utiles de webhook.

API

Vous pouvez utiliser l’API pour répertorier et interagir avec les alertes de sécurité, par exemple, obtenir les informations les plus récentes sur les mises à jour ou les masquages d’une alerte. Vous pouvez également utiliser l’API pour apporter des mises à jour supplémentaires à l’alerte ou pour automatiser les actions de suivi, telles que la création d’un problème pour chaque alerte nécessitant une action supplémentaire. Seul l’état actuel d’une alerte est signalé par l’API.

API des alertes Dependabot

Vous pouvez répertorier toutes les alertes Dependabot pour un référentiel, une organisation ou une entreprise ou utiliser des paramètres de chemin d’accès pour répertorier uniquement les alertes qui répondent à un ensemble spécifique de critères. Par exemple, vous souhaiterez peut-être répertorier uniquement les alertes Dependabot pour Maven ignorées. Vous pouvez également obtenir tous les détails d’une alerte ou mettre à jour l’alerte.

Pour plus d’informations, consultez Alertes Dependabot.

API d’alertes Secret scanning

Vous pouvez répertorier toutes les alertes secret scanning pour un référentiel, une organisation ou une entreprise ou utiliser des paramètres de chemin d’accès pour répertorier uniquement les alertes qui répondent à un ensemble spécifique de critères. Vous pouvez également obtenir tous les détails d’une alerte ou mettre à jour l’alerte.

Pour voir quelles alertes secret scanning ont été le résultat d’un contournement de protection push, filtrez les résultats pour "push_protection_bypassed": true.

Pour plus d’informations, consultez Secret scanning.

API d’alertes Code scanning

Vous pouvez répertorier toutes les alertes code scanning pour un référentiel, une organisation ou une entreprise ou utiliser des paramètres de chemin d’accès pour répertorier uniquement les alertes qui répondent à un ensemble spécifique de critères. Vous pouvez également obtenir tous les détails d’une alerte ou mettre à jour l’alerte.

Pour plus d’informations, consultez Code scanning.

Pour aller plus loin

• Évaluation des alertes d’analyse du code pour votre référentiel
• Affichage et mise à jour des alertes Dependabot
• Gestion des alertes à partir de l’analyse des secrets