Guide de démarrage rapide pour sécuriser votre référentiel

Gérer l’accès à votre code. Identifiez et corrigez automatiquement les codes et les dépendances vulnérables.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de référentiels, propriétaire d’organisations, gestionnaires de sécurité et utilisateurs avec le rôle d’administrateur

Dans cet article

Présentation

Ce guide vous montre comment configurer des fonctionnalités de sécurité pour un dépôt.

Vos besoins en matière de sécurité étant propres à votre dépôt, il ne vous est peut-être pas nécessaire d’activer chaque fonctionnalité pour celui-ci. Pour plus d’informations, consultez « Fonctionnalités de sécurité de GitHub ».

Certaines fonctionnalités sont disponibles pour les dépôts de tous les plans. Des fonctionnalités supplémentaires sont disponibles pour les organisations et les entreprises qui utilisent GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security. Les fonctionnalités GitHub Advanced Security sont également activées pour tous les référentiels publics sur GitHub. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Gestion de l’accès à votre dépôt

La première étape de la sécurisation d’un dépôt consiste à choisir qui peut voir et modifier votre code. Pour plus d’informations, consultez « Gestion des paramètres et des fonctionnalités de votre référentiel ».

Dans la page principale de votre référentiel, cliquez sur Paramètres, puis faites défiler jusqu’à la zone de danger.

Gestion du graphe de dépendances

          Les administrateurs de dépôts peuvent activer ou désactiver le graphe de dépendances pour les dépôts. Le graphe de dépendances interprète les fichiers manifestes et de verrou dans un référentiel pour identifier les dépendances.
  1. Dans la page principale de votre référentiel, cliquez sur Paramètres.
  2. Cliquez sur Advanced Security.
  3. En regard du graphe de dépendances, cliquez sur Activer ou Désactiver.

Pour plus d’informations, consultez « Exploration des dépendances d’un dépôt ».

Gestion Dependabot alerts

          Dependabot alerts sont générés lorsque GitHub identifie une dépendance dans le graphe de dépendance avec une vulnérabilité. 
          Vous pouvez activer Dependabot alerts pour n’importe quel dépôt.

En outre, vous pouvez utiliser Règles de triage automatique de Dependabot pour gérer vos alertes à l’échelle, pour pouvoir ignorer automatiquement ou désactiver temporairement les alertes, et spécifier les alertes pour lesquelles vous souhaitez que Dependabot ouvre les demandes de tirage. Pour plus d’informations sur les différents types de règles de triage automatique et pour savoir si vos référentiels sont éligibles, consultez À propos des règles de triage automatique de Dependabot.

Pour obtenir une vue d’ensemble des différentes caractéristiques offertes par Dependabot et des instructions de prise en main, consultez Guide de démarrage rapide Dependabot.

  1. Cliquez sur votre image de profil, puis sur Paramètres.
  2. Cliquez sur Advanced Security.
  3. Cliquez sur Activer en regard de Dependabot alerts.

Pour plus d’informations, consultez À propos des alertes Dependabot et Gestion des fonctionnalités de sécurité et d’analyse.

Gestion de la révision des dépendances

La révision des dépendances vous permet de visualiser les modifications de dépendance dans les demandes de tirage (pull request) avant qu’elles ne soient fusionnées dans vos dépôts. Pour plus d’informations, consultez « À propos de la vérification des dépendances ».

La révision des dépendances est une GitHub Code Security fonctionnalité. La révision des dépendances est activée pour tous les référentiels avec le graphique de dépendance activé. Les organisations qui utilisent GitHub Team ou GitHub Enterprise Cloud avec GitHub Code Security peuvent également activer la révision des dépendances pour les référentiels privés et internes.

Pour activer la révision des dépendances pour un référentiel, vérifiez que le graphique de dépendances est activé.

  1. Dans la page principale de votre référentiel, cliquez sur Paramètres.
  2. Cliquez sur Advanced Security.
  3. À droite de Code Security, cliquez sur Activer.
  4. Sous Code Security, vérifiez que le graphique de dépendances est activé pour le référentiel.

Gestion Dependabot security updates

Pour tous les référentiels qui utilisent Dependabot alerts, vous pouvez activer Dependabot security updates pour déclencher des demandes de tirage avec des mises à jour de sécurité lorsque des vulnérabilités sont détectées.

  1. Dans la page principale de votre référentiel, cliquez sur Paramètres.
  2. Cliquez sur Advanced Security.
  3. En regard de Dependabot security updates, cliquez sur Activer.

Pour plus d’informations, consultez « À propos des mises à jour de sécurité Dependabot » et « Configuration des mises à jour de sécurité Dependabot ».

Gestion Dependabot version updates

Vous pouvez activer Dependabot pour lever automatiquement des pull requests et conserver vos dépendances à jour. Pour plus d’informations, consultez « À propos des mises à jour de version Dependabot ».

  1. Dans la page principale de votre référentiel, cliquez sur Paramètres.
  2. Cliquez sur Advanced Security.
  3. En regard de Dependabot version updates, cliquez sur Activer pour créer un fichier de configuration de base dependabot.yml .
  4. Spécifiez les dépendances à mettre à jour et les options de configuration associées, puis validez le fichier dans le référentiel. Pour plus d’informations, consultez « Configuration de mises à jour de version Dependabot ».

Configuration Code Security

Remarque

          Code Security fonctionnalités sont disponibles pour tous les dépôts publics et pour les dépôts privés appartenant à des organisations qui font partie d'équipes ou d'entreprises utilisant GitHub Code Security ou GitHub Advanced Security.

          GitHub Code Security inclut code scanning, CodeQL CLI et Copilot correction automatique, ainsi que d’autres fonctionnalités qui recherchent et corrigent les vulnérabilités dans votre codebase.

Vous pouvez configurer code scanning pour identifier automatiquement les vulnérabilités et les erreurs dans le code stocké dans votre référentiel à l’aide d’un Workflow d’analyse CodeQL ou d’un outil tiers. Selon les langages de programmation de votre référentiel, vous pouvez configurer code scanning avec CodeQL l’installation par défaut, dans laquelle GitHub détermine automatiquement les langages à analyser, les suites de requêtes à exécuter et les événements qui déclenchent une nouvelle analyse. Pour plus d’informations, consultez « Définition de la configuration par défaut pour l’analyse du code ».

  1. Dans la page principale de votre référentiel, cliquez sur Paramètres.
  2. Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.
  3. Si «Code Security » ou «GitHub Advanced Security » n’est pas déjà activé, cliquez sur Activer.
  4. À droite de « Analyse CodeQL », sélectionnez Configurer, puis cliquez sur Par défaut.
  5. Dans la fenêtre contextuelle qui s’affiche, passez en revue les paramètres de configuration par défaut de votre référentiel, puis cliquez sur Activer CodeQL.
  6. Choisissez si vous souhaitez activer les fonctionnalités d’ajout, telles que Copilot correction automatique.

Comme alternative à la configuration par défaut, vous pouvez utiliser la configuration avancée, qui génère un fichier de workflow que vous pouvez modifier pour personnaliser votre code scanning avec CodeQL. Pour plus d’informations, consultez « Configuration avancée de l’analyse du code ».

Configuration Secret Protection

Remarque

          Secret Protection les fonctionnalités sont disponibles pour tous les dépôts publics et pour les dépôts privés appartenant à des organisations qui font partie d’une équipe ou d’une organisation qui utilise GitHub Secret Protection ou GitHub Advanced Security.

          GitHub Secret Protection inclut secret scanning et la protection contre le push, ainsi que d’autres fonctionnalités qui vous aident à détecter et à empêcher les fuites de secrets dans votre dépôt.
  1. Dans la page principale de votre référentiel, cliquez sur Paramètres.
  2. Cliquez sur Advanced Security.
  3. Si «Secret Protection » ou «GitHub Advanced Security » n’est pas déjà activé, cliquez sur Activer.
  4. Si l’option «Secret scanning » s’affiche, cliquez sur Activer.
  5. Choisissez si vous souhaitez activer des fonctionnalités supplémentaires, telles que l’analyse des modèles non fournisseurs et la protection push.

Définition d’une stratégie de sécurité

Si vous êtes un mainteneur de dépôt, il est recommandé de spécifier une stratégie de sécurité pour votre dépôt en créant un fichier nommé SECURITY.md dans le dépôt. Ce fichier indique aux utilisateurs comment vous contacter et collaborer avec vous lorsqu’ils souhaitent signaler des vulnérabilités de sécurité dans votre dépôt. Vous pouvez afficher la stratégie de sécurité d’un référentiel à partir de l’onglet du Security and quality référentiel.

  1. Dans la page principale de votre dépôt, cliquez sur Security and quality.
  2. Dans la barre latérale gauche, sous « Création de rapports », cliquez sur Stratégie.
  3. Cliquez sur Démarrer la configuration.
  4. Ajoutez des informations sur les versions prises en charge de votre projet et sur la façon de signaler les vulnérabilités.

Pour plus d’informations, consultez « Ajout d’une stratégie de sécurité à votre dépôt ».

Étapes suivantes

Vous pouvez afficher et gérer les alertes à partir des fonctionnalités de sécurité pour résoudre les dépendances et les vulnérabilités dans votre code. Pour plus d’informations, consultez Affichage et mise à jour des alertes Dependabot, Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances, Évaluation des alertes d’analyse du code pour votre référentiel et Gérer les alertes d’analyse des secrets.

Vous pouvez également utiliser les outils de l’outil GitHubpour auditer les réponses aux alertes de sécurité. Pour plus d’informations, consultez « Audit des alertes de sécurité ».

          Si vous avez une vulnérabilité de sécurité dans un référentiel public, vous pouvez créer un avis de sécurité pour discuter et corriger la vulnérabilité en privé. Pour plus d’informations, consultez « [AUTOTITLE](/code-security/security-advisories/working-with-repository-security-advisories/about-repository-security-advisories) » et « [AUTOTITLE](/code-security/security-advisories/working-with-repository-security-advisories/creating-a-repository-security-advisory) ».

Si vous utilisez GitHub Actions, vous pouvez utiliser les fonctionnalités de sécurité de GitHub pour augmenter la sécurité de vos flux de travail. Pour plus d’informations, consultez « Informations de référence sur l’utilisation sécurisée ».