Fonctionnalités de sécurité de GitHub

Vue d’ensemble des fonctionnalitĂ©s de sĂ©curitĂ© de GitHub.

Dans cet article

À propos des fonctionnalitĂ©s de sĂ©curitĂ© de GitHub

Les fonctionnalités de sécurité de GitHub permettent de protéger votre code et vos secrets dans les référentiels et au sein des organisations.

  • Certaines fonctionnalitĂ©s sont disponibles pour tous les rĂ©fĂ©rentiels par dĂ©faut.
  • Des fonctionnalitĂ©s supplĂ©mentaires sont disponibles pour les entreprises qui achĂštent un produit GitHub Advanced Security :

Disponibles pour tous les plans GitHub

Les fonctionnalitĂ©s de sĂ©curitĂ© suivantes sont Ă  votre disposition, quel que soit votre plan GitHub. Vous n’avez pas besoin d’acheter GitHub Secret Protection or GitHub Code Security pour utiliser ces fonctionnalitĂ©s.

Stratégie de sécurité

Permettez Ă  vos utilisateurs de signaler de maniĂšre confidentielle les vulnĂ©rabilitĂ©s de sĂ©curitĂ© qu’ils ont dĂ©tectĂ©es dans votre dĂ©pĂŽt. Pour plus d’informations, consultez « Ajout d’une stratĂ©gie de sĂ©curitĂ© Ă  votre dĂ©pĂŽt Â».

Graphe de dépendances

Le graphe de dĂ©pendances vous permet d’explorer les Ă©cosystĂšmes et les packages dont dĂ©pend votre dĂ©pĂŽt ainsi que les dĂ©pĂŽts et les packages qui dĂ©pendent de votre dĂ©pĂŽt.

Vous trouverez le graphe de dĂ©pendances sous l’onglet Insights de votre dĂ©pĂŽt. Pour plus d’informations, consultez « Ă€ propos du graphe de dĂ©pendances Â».

Nomenclature logicielle (SBOM)

Vous pouvez exporter le graphe des dĂ©pendances de votre rĂ©fĂ©rentiel sous la forme d’une nomenclature logicielle (SBOM) compatible avec SPDX. Pour plus d’informations, consultez « Exportation d’une nomenclature logicielle pour votre dĂ©pĂŽt Â».

GitHub Advisory Database

La GitHub Advisory Database contient une liste organisĂ©e de vulnĂ©rabilitĂ©s de sĂ©curitĂ© que vous pouvez afficher, rechercher et filtrer. Pour plus d’informations, consultez « Exploration des avis de sĂ©curitĂ© dans la base de donnĂ©es GitHub Advisory Â».

Dependabot alerts et mises à jour de sécurité

Affichez des alertes sur les dĂ©pendances connues pour contenir des vulnĂ©rabilitĂ©s de sĂ©curitĂ© et choisissez si des demandes de tirage (pull request) sont gĂ©nĂ©rĂ©es automatiquement pour mettre Ă  jour ces dĂ©pendances. Pour plus d’informations, consultez « Ă€ propos des alertes Dependabot Â» et « Ă€ propos des mises Ă  jour de sĂ©curitĂ© Dependabot Â».

Vous pouvez également utiliser le RÚgles de triage automatique de Dependabot par défaut, sélectionné par GitHub, pour filtrer automatiquement une quantité importante de faux positifs.

Pour obtenir une vue d’ensemble des diffĂ©rentes caractĂ©ristiques offertes par Dependabot et des instructions de prise en main, consultez Guide de dĂ©marrage rapide Dependabot.

Dependabot version updates

Utilisez Dependabot pour dĂ©clencher automatiquement des demandes de tirage afin de maintenir vos dĂ©pendances Ă  jour. Cela aide Ă  rĂ©duire votre exposition aux versions antĂ©rieures des dĂ©pendances. L’utilisation de versions plus rĂ©centes facilite l’application de correctifs si des vulnĂ©rabilitĂ©s de sĂ©curitĂ© sont dĂ©couvertes et facilite Ă©galement le dĂ©clenchement de demandes de tirage par les Dependabot security updates pour la mise Ă  niveau des dĂ©pendances vulnĂ©rables. Vous pouvez Ă©galement personnaliser Dependabot version updates pour simplifier leur intĂ©gration dans vos rĂ©fĂ©rentiels. Pour plus d’informations, consultez « Ă€ propos des mises Ă  jour de version Dependabot Â».

Ensembles de rÚgles de référentiel

Appliquez des normes de code, de sĂ©curitĂ© et de conformitĂ© cohĂ©rentes sur les branches et Ă©tiquettes. Pour plus d’informations, consultez « Ă€ propos des ensembles de rĂšgles Â».

Disponible avec GitHub Secret Protection

Pour les comptes sur GitHub Enterprise Server, vous pouvez accéder à des fonctionnalités de sécurité supplémentaires lorsque vous achetez GitHub Secret Protection.

GitHub Secret Protection inclut des fonctionnalitĂ©s qui vous aident Ă  dĂ©tecter et Ă  empĂȘcher les fuites de secrets, telles que secret scanning et la protection d’envoi (push).

Ces fonctionnalités sont disponibles pour tous les types de référentiels.

Analyse des secrets

DĂ©tectez automatiquement les jetons ou les informations d’identification qui ont Ă©tĂ© archivĂ©s dans un dĂ©pĂŽt. Vous pouvez afficher les alertes pour tous les secrets que GitHub trouve dans votre code, dans l’onglet SĂ©curitĂ© du rĂ©fĂ©rentiel, afin de savoir quels jetons ou informations d’identification traiter comme compromis. Pour plus d’informations, consultez « Ă€ propos des alertes d’analyse des secrets Â».

Protection push.

La protection d’envoi (push) analyse de maniĂšre proactive votre code, ainsi que celui de tout contributeur au rĂ©fĂ©rentiel, Ă  la recherche de secrets pendant le processus d’envoi et bloque l’envoi si des secrets sont dĂ©tectĂ©s. Si un contributeur contourne le blocage, GitHub crĂ©e une alerte. Pour plus d’informations, consultez « Ă€ propos de la protection push Â».

Contournement délégué pour la protection Push

Le contournement dĂ©lĂ©guĂ© de la protection d’envoi (push) vous permet de contrĂŽler quelles personnes, quels rĂŽles et quelles Ă©quipes peuvent contourner la protection d’envoi (push), et met en Ɠuvre un cycle de rĂ©vision et d’approbation pour les envois contenant des secrets. Pour plus d’informations, consultez « Ă€ propos du contournement dĂ©lĂ©guĂ© pour la protection Push Â».

ModÚles personnalisées

Vous pouvez dĂ©finir des modĂšles personnalisĂ©s pour identifier les secrets qui ne sont pas dĂ©tectĂ©s par les modĂšles par dĂ©faut pris en charge par secret scanning, tels que les modĂšles internes Ă  votre organisation. Pour plus d’informations, consultez « DĂ©finition de modĂšles personnalisĂ©s pour l’analyse des secrets Â».

Vue d’ensemble de la sĂ©curitĂ©

La vue d’ensemble de la sĂ©curitĂ© vous permet de passer en revue le paysage de sĂ©curitĂ© global de votre organisation, d’afficher les tendances et d’autres insights, et de gĂ©rer les configurations de sĂ©curitĂ©, ce qui vous permet de surveiller facilement le statut de sĂ©curitĂ© de votre organisation et d’identifier les rĂ©fĂ©rentiels et les organisations qui courent le plus de risques. Pour plus d’informations, consultez « Ă€ propos de la vue d’ensemble de la sĂ©curitĂ© Â».

Disponible avec GitHub Code Security

Pour les comptes sur GitHub Enterprise Server, vous pouvez accéder à des fonctionnalités de sécurité supplémentaires lorsque vous achetez GitHub Code Security.

GitHub Code Security inclut des fonctionnalités qui vous aident à trouver et à corriger les vulnérabilités, telles que code scanning, des fonctionnalités premium Dependabot et la revue des dépendances.

Ces fonctionnalités sont disponibles pour tous les types de référentiels.

Code scanning

DĂ©tectez automatiquement les vulnĂ©rabilitĂ©s de sĂ©curitĂ© et les erreurs de codage dans le code nouveau ou modifiĂ©. Les problĂšmes potentiels sont mis en surbrillance, avec des informations dĂ©taillĂ©es, ce qui vous permet de corriger le code avant qu’il ne soit fusionnĂ© dans votre branche par dĂ©faut. Pour plus d’informations, consultez « Ă€ propos de l’analyse du code Â».

CodeQL CLI

ExĂ©cutez les processus CodeQL localement sur des projets logiciels ou pour gĂ©nĂ©rer des rĂ©sultats code scanning Ă  tĂ©lĂ©charger sur GitHub. Pour plus d’informations, consultez « Ă€ propos de CodeQL CLI Â».

RÚgles de triage automatique personnalisées pour Dependabot

Vous aide Ă  gĂ©rer vos Dependabot alerts Ă  grande Ă©chelle. Les RĂšgles de triage automatique personnalisĂ©es permettent de contrĂŽler les alertes ignorĂ©es et dĂ©sactivĂ©es temporairement, ou de dĂ©clencher un correctif de sĂ©curitĂ© Dependabot. Pour plus d’informations, consultez « Ă€ propos des alertes Dependabot Â» et « Personnalisation des rĂšgles de triage automatique pour classer les alertes Dependabot par ordre de prioritĂ© Â».

Vérification des dépendances

Montrez l’impact complet des modifications apportĂ©es aux dĂ©pendances et examinez les dĂ©tails de toutes les versions vulnĂ©rables avant de fusionner une demande de tirage. Pour plus d’informations, consultez « Ă€ propos de la vĂ©rification des dĂ©pendances Â».

Vue d’ensemble de la sĂ©curitĂ©

La vue d’ensemble de la sĂ©curitĂ© vous permet de passer en revue le paysage de sĂ©curitĂ© global de votre organisation, d’afficher les tendances et d’autres insights, et de gĂ©rer les configurations de sĂ©curitĂ©, ce qui vous permet de surveiller facilement le statut de sĂ©curitĂ© de votre organisation et d’identifier les rĂ©fĂ©rentiels et les organisations qui courent le plus de risques. Pour plus d’informations, consultez « Ă€ propos de la vue d’ensemble de la sĂ©curitĂ© Â».

Pour aller plus loin