Fonctionnalités de sécurité de GitHub

Vue d’ensemble des fonctionnalitĂ©s de sĂ©curitĂ© de GitHub.

Dans cet article

À propos des fonctionnalitĂ©s de sĂ©curitĂ© de GitHub

Les fonctionnalités de sécurité de GitHub permettent de protéger votre code et vos secrets dans les référentiels et au sein des organisations.

  • Certaines fonctionnalitĂ©s sont disponibles pour tous les plans GitHub.
  • Des fonctionnalitĂ©s supplĂ©mentaires sont disponibles pour les organisations et les entreprises sur GitHub Team et GitHub Enterprise Cloud qui achĂštent un produit GitHub Advanced Security :
  • De plus, un certain nombre de fonctionnalitĂ©s GitHub Secret Protection et GitHub Code Security peuvent ĂȘtre exĂ©cutĂ©es gratuitement sur des rĂ©fĂ©rentiels publics.

Disponibles pour tous les plans GitHub

Les fonctionnalitĂ©s de sĂ©curitĂ© suivantes sont Ă  votre disposition, quel que soit votre plan GitHub. Vous n’avez pas besoin d’acheter GitHub Secret Protection or GitHub Code Security pour utiliser ces fonctionnalitĂ©s.

La plupart de ces fonctionnalités sont disponibles pour les référentiels publics, internes et privés. Certaines fonctionnalités sont uniquement disponibles pour les référentiels publics.

Stratégie de sécurité

Permettez Ă  vos utilisateurs de signaler de maniĂšre confidentielle les vulnĂ©rabilitĂ©s de sĂ©curitĂ© qu’ils ont dĂ©tectĂ©es dans votre dĂ©pĂŽt. Pour plus d’informations, consultez « Ajout d’une stratĂ©gie de sĂ©curitĂ© Ă  votre dĂ©pĂŽt Â».

Graphe de dépendances

Le graphe de dĂ©pendances vous permet d’explorer les Ă©cosystĂšmes et les packages dont dĂ©pend votre dĂ©pĂŽt ainsi que les dĂ©pĂŽts et les packages qui dĂ©pendent de votre dĂ©pĂŽt.

Vous trouverez le graphe de dĂ©pendances sous l’onglet Insights de votre dĂ©pĂŽt. Pour plus d’informations, consultez « Ă€ propos du graphe de dĂ©pendances Â».

Nomenclature logicielle (SBOM)

Vous pouvez exporter le graphe des dĂ©pendances de votre rĂ©fĂ©rentiel sous la forme d’une nomenclature logicielle (SBOM) compatible avec SPDX. Pour plus d’informations, consultez « Exportation d’une nomenclature logicielle pour votre dĂ©pĂŽt Â».

GitHub Advisory Database

La GitHub Advisory Database contient une liste organisĂ©e de vulnĂ©rabilitĂ©s de sĂ©curitĂ© que vous pouvez afficher, rechercher et filtrer. Pour plus d’informations, consultez « Exploration des avis de sĂ©curitĂ© dans la base de donnĂ©es GitHub Advisory Â».

Dependabot alerts et mises à jour de sécurité

Affichez des alertes sur les dĂ©pendances connues pour contenir des vulnĂ©rabilitĂ©s de sĂ©curitĂ© et choisissez si des demandes de tirage (pull request) sont gĂ©nĂ©rĂ©es automatiquement pour mettre Ă  jour ces dĂ©pendances. Pour plus d’informations, consultez « Ă€ propos des alertes Dependabot Â» et « Ă€ propos des mises Ă  jour de sĂ©curitĂ© Dependabot Â».

Vous pouvez également utiliser le RÚgles de triage automatique de Dependabot par défaut, sélectionné par GitHub, pour filtrer automatiquement une quantité importante de faux positifs.

Pour obtenir une vue d’ensemble des diffĂ©rentes caractĂ©ristiques offertes par Dependabot et des instructions de prise en main, consultez Guide de dĂ©marrage rapide Dependabot.

Dependabot version updates

Utilisez Dependabot pour dĂ©clencher automatiquement des demandes de tirage afin de maintenir vos dĂ©pendances Ă  jour. Cela aide Ă  rĂ©duire votre exposition aux versions antĂ©rieures des dĂ©pendances. L’utilisation de versions plus rĂ©centes facilite l’application de correctifs si des vulnĂ©rabilitĂ©s de sĂ©curitĂ© sont dĂ©couvertes et facilite Ă©galement le dĂ©clenchement de demandes de tirage par les Dependabot security updates pour la mise Ă  niveau des dĂ©pendances vulnĂ©rables. Vous pouvez Ă©galement personnaliser Dependabot version updates pour simplifier leur intĂ©gration dans vos rĂ©fĂ©rentiels. Pour plus d’informations, consultez « Ă€ propos des mises Ă  jour de version Dependabot Â».

Avis de sécurité

Discutez et corrigez en privĂ© les vulnĂ©rabilitĂ©s de sĂ©curitĂ© dans le code de votre rĂ©fĂ©rentiel public. Vous pouvez ensuite publier un avis de sĂ©curitĂ© pour alerter votre communautĂ© sur la vulnĂ©rabilitĂ© et encourager les membres de la communautĂ© Ă  effectuer une mise Ă  niveau. Pour plus d’informations, consultez « Ă€ propos des avis de sĂ©curitĂ© des rĂ©fĂ©rentiels Â».

Ensembles de rÚgles de référentiel

Appliquez des normes de code, de sĂ©curitĂ© et de conformitĂ© cohĂ©rentes sur les branches et Ă©tiquettes. Pour plus d’informations, consultez « Ă€ propos des ensembles de rĂšgles Â».

Attestations d’artefacts

CrĂ©ez des garanties de provenance et d’intĂ©gritĂ© non falsifiables pour les logiciels que vous dĂ©veloppez. Pour plus d’informations, consultez « Utilisation d’attestations d’artefact pour Ă©tablir la provenance des builds Â».

Alertes d’analyse des secrets pour les partenaires

Lorsque GitHub dĂ©tecte une fuite de secret dans un rĂ©fĂ©rentiel public ou dans un package npm public, GitHub informe le fournisseur de services appropriĂ© que le secret peut ĂȘtre compromis. Pour plus d’informations sur les secrets et les fournisseurs de services pris en charge, consultez ModĂšles d’analyse de secrets pris en charge.

Protection par émission de données pour les utilisateurs

La protection push pour les utilisateurs vous protĂšge automatiquement contre la validation accidentelle des secrets dans les rĂ©fĂ©rentiels publics, que l'option secret scanning soit activĂ©e ou non pour le rĂ©fĂ©rentiel lui-mĂȘme. La protection push pour les utilisateurs est activĂ©e par dĂ©faut, mais vous pouvez dĂ©sactiver la caractĂ©ristique Ă  tout moment via vos paramĂštres de compte personnel. Pour plus d’informations, consultez « Protection par Ă©mission de donnĂ©es pour les utilisateurs Â».

Disponible avec GitHub Secret Protection

Pour les comptes sur GitHub Team et GitHub Enterprise Cloud, vous pouvez accéder à des fonctionnalités de sécurité supplémentaires lorsque vous achetez GitHub Secret Protection.

GitHub Secret Protection inclut des fonctionnalitĂ©s qui vous aident Ă  dĂ©tecter et Ă  empĂȘcher les fuites de secrets, telles que secret scanning et la protection d’envoi (push).

Ces fonctionnalitĂ©s sont disponibles pour tous les types de rĂ©fĂ©rentiels. Certaines de ces fonctionnalitĂ©s sont disponibles gratuitement pour les rĂ©fĂ©rentiels publics, ce qui signifie que vous n’avez pas besoin d’acheter GitHub Secret Protection pour activer la fonctionnalitĂ© sur un rĂ©fĂ©rentiel public.

Alertes d’analyse des secrets pour les utilisateurs

DĂ©tectez automatiquement les jetons ou les informations d’identification qui ont Ă©tĂ© archivĂ©s dans un dĂ©pĂŽt. Vous pouvez afficher les alertes pour tous les secrets que GitHub trouve dans votre code, dans l’onglet SĂ©curitĂ© du rĂ©fĂ©rentiel, afin de savoir quels jetons ou informations d’identification traiter comme compromis. Pour plus d’informations, consultez « Ă€ propos des alertes d’analyse des secrets Â».

Disponible pour les référentiels publics par défaut.

Analyse des secrets Copilot

La dĂ©tection gĂ©nĂ©rique des secrets de Analyse des secrets Copilot est une extension basĂ©e sur l’IA de secret scanning qui identifie les secrets non structurĂ©s (mots de passe) dans votre code source, puis gĂ©nĂšre une alerte. Pour plus d’informations, consultez « DĂ©tection responsable des secrets gĂ©nĂ©riques avec l’analyse des secrets Copilot Â».

Protection push.

La protection d’envoi (push) analyse de maniĂšre proactive votre code, ainsi que celui de tout contributeur au rĂ©fĂ©rentiel, Ă  la recherche de secrets pendant le processus d’envoi et bloque l’envoi si des secrets sont dĂ©tectĂ©s. Si un contributeur contourne le blocage, GitHub crĂ©e une alerte. Pour plus d’informations, consultez « Ă€ propos de la protection push Â».

Disponible pour les référentiels publics par défaut.

Contournement délégué pour la protection Push

Le contournement dĂ©lĂ©guĂ© de la protection d’envoi (push) vous permet de contrĂŽler quelles personnes, quels rĂŽles et quelles Ă©quipes peuvent contourner la protection d’envoi (push), et met en Ɠuvre un cycle de rĂ©vision et d’approbation pour les envois contenant des secrets. Pour plus d’informations, consultez « Ă€ propos du contournement dĂ©lĂ©guĂ© pour la protection Push Â».

ModÚles personnalisées

Vous pouvez dĂ©finir des modĂšles personnalisĂ©s pour identifier les secrets qui ne sont pas dĂ©tectĂ©s par les modĂšles par dĂ©faut pris en charge par secret scanning, tels que les modĂšles internes Ă  votre organisation. Pour plus d’informations, consultez « DĂ©finition de modĂšles personnalisĂ©s pour l’analyse des secrets Â».

Vue d’ensemble de la sĂ©curitĂ©

La vue d’ensemble de la sĂ©curitĂ© vous permet de passer en revue le paysage de sĂ©curitĂ© global de votre organisation, d’afficher les tendances et d’autres insights, et de gĂ©rer les configurations de sĂ©curitĂ©, ce qui vous permet de surveiller facilement le statut de sĂ©curitĂ© de votre organisation et d’identifier les rĂ©fĂ©rentiels et les organisations qui courent le plus de risques. Pour plus d’informations, consultez « Ă€ propos de la vue d’ensemble de la sĂ©curitĂ© Â».

Disponible avec GitHub Code Security

Pour les comptes sur GitHub Team et GitHub Enterprise Cloud, vous pouvez accéder à des fonctionnalités de sécurité supplémentaires lorsque vous achetez GitHub Code Security.

GitHub Code Security inclut des fonctionnalités qui vous aident à trouver et à corriger les vulnérabilités, telles que code scanning, des fonctionnalités premium Dependabot et la revue des dépendances.

Ces fonctionnalitĂ©s sont disponibles pour tous les types de rĂ©fĂ©rentiels. Certaines de ces fonctionnalitĂ©s sont disponibles gratuitement pour les rĂ©fĂ©rentiels publics, ce qui signifie que vous n’avez pas besoin d’acheter GitHub Code Security pour activer la fonctionnalitĂ© sur un rĂ©fĂ©rentiel public.

Code scanning

DĂ©tectez automatiquement les vulnĂ©rabilitĂ©s de sĂ©curitĂ© et les erreurs de codage dans le code nouveau ou modifiĂ©. Les problĂšmes potentiels sont mis en surbrillance, avec des informations dĂ©taillĂ©es, ce qui vous permet de corriger le code avant qu’il ne soit fusionnĂ© dans votre branche par dĂ©faut. Pour plus d’informations, consultez « Ă€ propos de l’analyse du code Â».

Disponible pour les référentiels publics par défaut.

CodeQL CLI

ExĂ©cutez les processus CodeQL localement sur des projets logiciels ou pour gĂ©nĂ©rer des rĂ©sultats code scanning Ă  tĂ©lĂ©charger sur GitHub. Pour plus d’informations, consultez « Ă€ propos de CodeQL CLI Â».

Disponible pour les référentiels publics par défaut.

Correctif automatique Copilot

Obtenez automatiquement les correctifs gĂ©nĂ©rĂ©s pour les alertes code scanning. Pour plus d’informations, consultez « Utilisation responsable de Copilot Autofix pour l’analyse du code Â».

Disponible pour les référentiels publics par défaut.

RÚgles de triage automatique personnalisées pour Dependabot

Vous aide Ă  gĂ©rer vos Dependabot alerts Ă  grande Ă©chelle. Les RĂšgles de triage automatique personnalisĂ©es permettent de contrĂŽler les alertes ignorĂ©es et dĂ©sactivĂ©es temporairement, ou de dĂ©clencher un correctif de sĂ©curitĂ© Dependabot. Pour plus d’informations, consultez « Ă€ propos des alertes Dependabot Â» et « Personnalisation des rĂšgles de triage automatique pour classer les alertes Dependabot par ordre de prioritĂ© Â».

Vérification des dépendances

Montrez l’impact complet des modifications apportĂ©es aux dĂ©pendances et examinez les dĂ©tails de toutes les versions vulnĂ©rables avant de fusionner une demande de tirage. Pour plus d’informations, consultez « Ă€ propos de la vĂ©rification des dĂ©pendances Â».

Disponible pour les référentiels publics par défaut.

Campagnes de sécurité

Corrigez les alertes de sĂ©curitĂ© Ă  grande Ă©chelle en crĂ©ant des campagnes de sĂ©curitĂ© et en collaborant avec les dĂ©veloppeurs pour rĂ©duire votre backlog de sĂ©curitĂ©. Pour plus d’informations, consultez « Ă€ propos des campagnes de sĂ©curitĂ© Â».

Vue d’ensemble de la sĂ©curitĂ©

La vue d’ensemble de la sĂ©curitĂ© vous permet de passer en revue le paysage de sĂ©curitĂ© global de votre organisation, d’afficher les tendances et d’autres insights, et de gĂ©rer les configurations de sĂ©curitĂ©, ce qui vous permet de surveiller facilement le statut de sĂ©curitĂ© de votre organisation et d’identifier les rĂ©fĂ©rentiels et les organisations qui courent le plus de risques. Pour plus d’informations, consultez « Ă€ propos de la vue d’ensemble de la sĂ©curitĂ© Â».

Exploiter GitHub Copilot Chat pour comprendre les alertes de sécurité

Avec une licence GitHub Copilot Enterprise, vous pouvez Ă©galement demander Ă  GitHub Copilot Chat de vous aider Ă  mieux comprendre les alertes de sĂ©curitĂ© dans les rĂ©fĂ©rentiels de votre organisation Ă  partir des fonctionnalitĂ©s de GitHub Advanced Security (code scanning, secret scanning et Dependabot alerts). Pour plus d’informations, consultez « Asking GitHub Copilot questions in GitHub Â».

Pour aller plus loin