Gestion des paramĂštres de sĂ©curitĂ© et d’analyse pour votre dĂ©pĂŽt

Vous pouvez contrÎler les fonctionnalités qui sécurisent et analysent le code de votre projet sur GitHub.

Qui peut utiliser cette fonctionnalité ?

People with admin permissions to a repository can manage security and analysis settings for the repository.

Dans cet article

À propos des paramĂštres de sĂ©curitĂ© et d’analyse de votre rĂ©fĂ©rentiel

GitHub offre un certain nombre de fonctionnalitĂ©s de sĂ©curitĂ© diffĂ©rentes que vous pouvez activer pour votre rĂ©fĂ©rentiel afin de protĂ©ger votre code contre les vulnĂ©rabilitĂ©s, l’accĂšs non autorisĂ© et d’autres menaces de sĂ©curitĂ© potentielles. La plupart de ces fonctionnalitĂ©s sont disponibles gratuitement pour les rĂ©fĂ©rentiels publics.

Activation ou dĂ©sactivation des fonctionnalitĂ©s de sĂ©curitĂ© et d’analyse pour les dĂ©pĂŽts publics

Vous pouvez gĂ©rer un sous-ensemble de fonctionnalitĂ©s de sĂ©curitĂ© et d’analyse pour les dĂ©pĂŽts publics.

Au minimum, vous devez activer ce qui suit pour votre référentiel public :

  • Dependabot alerts vous avertit des failles de sĂ©curitĂ© dans le rĂ©seau de dĂ©pendances de votre projet, afin que vous puissiez mettre Ă  jour la dĂ©pendance concernĂ©e vers une version plus sĂ©curisĂ©e.
  • Secret scanning analyse votre rĂ©fĂ©rentiel Ă  la recherche de secrets (tels que les clĂ©s API et les jetons) et vous avertit si un secret est dĂ©tectĂ©, afin que vous puissiez le supprimer de votre rĂ©fĂ©rentiel.
  • Protection d’envoi (push) vous empĂȘche (ainsi que vos collaborateurs) d'introduire des secrets dans le rĂ©fĂ©rentiel, en bloquant les envois contenant des secrets pris en charge.
  • Code scanning identifie les vulnĂ©rabilitĂ©s et les erreurs dans le code de votre rĂ©fĂ©rentiel, afin que vous puissiez rĂ©soudre ces problĂšmes rapidement et empĂȘcher qu’une vulnĂ©rabilitĂ© ou une erreur ne soit exploitĂ©e par des acteurs malveillants.

D’autres fonctionnalitĂ©s sont activĂ©es en permanence pour les rĂ©fĂ©rentiels publics, comme le graphe des dĂ©pendances, qui affiche toutes les bibliothĂšques et tous les packages dont dĂ©pend votre rĂ©fĂ©rentiel.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre rĂ©fĂ©rentiel, cliquez sur ParamĂštres. Si vous ne voyez pas l’onglet « ParamĂštres », sĂ©lectionnez le menu dĂ©roulant , puis cliquez sur ParamĂštres.

    Capture d’écran d’un en-tĂȘte de dĂ©pĂŽt montrant les onglets. L’onglet « ParamĂštres » est mis en Ă©vidence avec un encadrĂ© orange foncĂ©.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.

  4. Sous « Advanced Security », à droite de la fonctionnalité, cliquez sur Désactiver ou Activer.

Activation ou dĂ©sactivation des fonctionnalitĂ©s de sĂ©curitĂ© et d’analyse pour les dĂ©pĂŽts privĂ©s

Vous pouvez gĂ©rer les fonctionnalitĂ©s de sĂ©curitĂ© et d’analyse de votre rĂ©fĂ©rentiel privĂ© ou interne . Si votre entreprise ou organisation dispose d’une licence pour GitHub Code Security ou GitHub Secret Protection, des options supplĂ©mentaires sont disponibles. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Si vous activez les fonctionnalitĂ©s de sĂ©curitĂ© et d’analyse, GitHub effectue une analyse en lecture seule sur votre dĂ©pĂŽt.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre rĂ©fĂ©rentiel, cliquez sur ParamĂštres. Si vous ne voyez pas l’onglet « ParamĂštres », sĂ©lectionnez le menu dĂ©roulant , puis cliquez sur ParamĂštres.

    Capture d’écran d’un en-tĂȘte de dĂ©pĂŽt montrant les onglets. L’onglet « ParamĂštres » est mis en Ă©vidence avec un encadrĂ© orange foncĂ©.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.

  4. Sous « Advanced Security », à droite de la fonctionnalité, cliquez sur Désactiver ou Activer. Le contrÎle de « Secret Protection and Code Security » est désactivé si votre organisation ne dispose pas de licences disponibles.

    Remarque

    Si vous dĂ©sactivez Secret Protection and Code Security, la revue des dĂ©pendances, alertes d’analyse des secrets pour les utilisateurs et code scanning sont dĂ©sactivĂ©s. Tous les workflows, les chargements SARIF ou les appels d’API pour code scanning Ă©chouent. Si Code Security est rĂ©activĂ©, code scanning reviendra Ă  son Ă©tat prĂ©cĂ©dent.

Octroi de l’accĂšs aux alertes de sĂ©curitĂ©

Les alertes de sécurité GitHub sont des notifications automatiques qui vous informent lorsque des vulnérabilités sont détectées dans les dépendances ou le code de votre référentiel. Elles vous invitent à passer en revue et à corriger ces problÚmes, ce qui contribue à la sécurité de votre projet.

Vous trouverez les alertes de sĂ©curitĂ© de Dependabot, Secret scanning et Code scanning sous l’onglet SĂ©curitĂ© de votre rĂ©fĂ©rentiel.

Les alertes de sĂ©curitĂ© d’un rĂ©fĂ©rentiel sont visibles par les personnes disposant d’un accĂšs d’écriture, de maintenance et d’administrateur au rĂ©fĂ©rentiel et, lorsque le rĂ©fĂ©rentiel appartient Ă  une organisation, propriĂ©taires d’une organisation. Vous pouvez donner aux Ă©quipes et aux personnes supplĂ©mentaires l’accĂšs aux alertes.

Remarque

Les propriĂ©taires d’organisations et les administrateurs de rĂ©fĂ©rentiels peuvent accorder uniquement l’accĂšs permettant d’afficher les alertes de sĂ©curitĂ©, comme les alertes Alertes d’analyse de secrets, aux personnes ou aux Ă©quipes qui disposent d’un accĂšs en Ă©criture au rĂ©fĂ©rentiel.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre rĂ©fĂ©rentiel, cliquez sur ParamĂštres. Si vous ne voyez pas l’onglet « ParamĂštres », sĂ©lectionnez le menu dĂ©roulant , puis cliquez sur ParamĂštres.

    Capture d’écran d’un en-tĂȘte de dĂ©pĂŽt montrant les onglets. L’onglet « ParamĂštres » est mis en Ă©vidence avec un encadrĂ© orange foncĂ©.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.

  4. Sous « AccĂšs aux alertes », dans le champ de recherche, commencez Ă  taper le nom de la personne ou de l’équipe que vous souhaitez trouver, puis cliquez sur un nom dans la liste des correspondances.

  5. Cliquez sur Save changes.

Suppression de l’accĂšs aux alertes de sĂ©curitĂ©

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre rĂ©fĂ©rentiel, cliquez sur ParamĂštres. Si vous ne voyez pas l’onglet « ParamĂštres », sĂ©lectionnez le menu dĂ©roulant , puis cliquez sur ParamĂštres.

    Capture d’écran d’un en-tĂȘte de dĂ©pĂŽt montrant les onglets. L’onglet « ParamĂštres » est mis en Ă©vidence avec un encadrĂ© orange foncĂ©.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.

  4. Sous « AccĂ©der aux alertes », Ă  droite de la personne ou de l’équipe dont vous souhaitez supprimer l’accĂšs, cliquez sur .

    Capture d'Ă©cran de la liste des utilisateurs ayant accĂšs aux alertes. À droite de @octocat, une icĂŽne x est indiquĂ©e en orange foncĂ©.

  5. Cliquez sur Save changes.

Pour aller plus loin