Création d’une configuration de sécurité personnalisée pour votre entreprise

Créez une custom security configuration pour répondre aux besoins de sécurité spécifiques de votre entreprise.

Qui peut utiliser cette fonctionnalité ?

Administrateurs du site

Dans cet article

À propos des custom security configurations

Avec les custom security configurations, vous pouvez créer des collections de paramètres d’activation pour les produits de sécurité de GitHub afin de répondre aux besoins de sécurité spécifiques de votre entreprise. Par exemple, vous pouvez créer une custom security configuration différente pour chaque organisation ou groupe d’organisations afin de refléter leurs besoins de sécurité uniques et leurs obligations de conformité.

Vous pouvez également choisir d’inclure ou non les fonctionnalités GitHub Code Security ou GitHub Secret Protection dans une configuration.

Si vous le faites, gardez à l’esprit que ces fonctionnalités entraînent des coûts d’utilisation (ou nécessitent des licences GitHub Advanced Security) lorsqu’elles sont appliquées à des dépôts privés et internes. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Lors de la création d’une configuration de sécurité, gardez à l’esprit les points suivants :

  • Seules les fonctionnalités installées par un administrateur de site sur votre instance GitHub Enterprise Server s’affichent dans l’IU.
  • Les fonctionnalités GitHub Advanced Security sont visibles seulement si votre entreprise ou votre instance GitHub Enterprise Server détient une licence GitHub Advanced Security, GitHub Code Security ou GitHub Secret Protection.
  • Certaines fonctionnalités telles que la configuration par défaut de Dependabot security updates et code scanning nécessitent également que GitHub Actions soit installé sur l’instance GitHub Enterprise Server.

Important

L’ordre et les noms de certains paramètres diffèrent selon que vous utilisez des licences pour le produit d’origine GitHub Advanced Security ou pour les deux nouveaux produits : GitHub Code Security et GitHub Secret Protection. Consultez Création d’une configuration GitHub Advanced Security ou Création d’une configuration Secret Protection and Code Security.

Création d’une configuration Secret Protection and Code Security

  1. Dans le coin supérieur droit de GitHub Enterprise Server, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.
  2. En haut de la page, cliquez sur Paramètres.
  3. Dans la barre latérale gauche, cliquez sur Advanced Security.
  4. Dans la section « Security configurations », cliquez sur Nouvelle configuration.
  5. Pour vous aider à identifier votre custom security configuration et clarifier son objectif sur la page « Security configurations », nommez votre configuration et créez une description.
  6. Vous pouvez également activer « Secret Protection », une fonctionnalité payante pour les dépôts privés . L’activation de Secret Protection active les alertes pour secret scanning. De plus, vous pouvez choisir d’activer, de désactiver ou de conserver les paramètres existants pour les fonctionnalités secret scanning suivantes : * Contrôles de validité. Pour en savoir plus sur les vérifications de validité pour les modèles de partenaires, consultez Évaluation des alertes à partir de l’analyse des secrets. Votre administrateur de site doit activer les vérifications de validité avant de pouvoir utiliser cette fonctionnalité. Voir Configuration de l’analyse de secrets pour votre appliance. * Modèles non fournisseurs. Pour en savoir plus sur l’analyse des modèles non fournisseurs, consultez Modèles de détection de secrets pris en charge et Affichage et filtrage des alertes à partir de l’analyse des secrets. * Protection push. Pour obtenir plus d'informations sur la protection des notifications push, consultez À propos de la protection lors du push. * Privilèges de contournement. L’attribution de privilèges de contournement permet à certains membres du dépôt, de l’organisation et de l’entreprise de passer outre la protection des poussées. Il existe un processus d’examen et d’approbation pour tous les autres contributeurs. Consultez À propos du contournement délégué pour la protection push. * Empêcher les rejets d’alerte directs. Pour en savoir plus, consultez Activation du rejet d’alerte délégué pour l’analyse des secrets.
  7. Vous pouvez également activer « Code Security », une fonctionnalité payante pour les dépôts privés . Vous pouvez choisir d’activer, de désactiver ou de conserver les paramètres existants pour les fonctionnalités suivantes code scanning : * Configuration par défaut. Pour en savoir plus sur la configuration par défaut, consultez Configuring default setup for code scanning.

Remarque

Pour créer une configuration que vous pouvez appliquer à tous les référentiels, quelle que soit la configuration actuelle code scanning, sélectionnez « Activé avec configuration avancée autorisée ». Ce paramètre active la configuration par défaut uniquement dans les référentiels où l'analyse CodeQL n'est pas activement exécutée. Option disponible à partir de GitHub Enterprise Server 3.19.

  •      **Type d’exécuteur**. Si vous souhaitez cibler des exécuteurs spécifiques pour code scanning, vous pouvez choisir d’utiliser des exécuteurs à étiquette personnalisée à cette étape. Consultez [AUTOTITLE](/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning#assigning-labels-to-runners). 

* 

          **Empêcher les rejets d’alerte directs**. Pour en savoir plus, consultez [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/enabling-delegated-alert-dismissal-for-code-scanning).

  1. Toujours sous « Code Security », dans la table « Analyse des dépendances », indiquez si vous souhaitez activer, désactiver ou conserver les paramètres existants pour les fonctionnalités d’analyse des dépendances suivantes : * Graphique des dépendances. Pour en savoir plus sur le graphique des dépendances, consultez À propos du graphe de dépendances.

    Conseil

    Lorsque « Code Security » et le graphique des dépendances sont activés, cela permet l’examen des dépendances. Consultez À propos de la vérification des dépendances.

    •      **Alertes Dependabot**. Pour en savoir plus sur Dependabot, consultez [AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts).

    •      **Mises à jour de sécurité**. Pour en savoir plus sur les mises à jour de sécurité, consultez [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates).

  2. Dans la section « Stratégie », vous pouvez également contrôler la manière dont la configuration est appliquée à l’aide d’options supplémentaires : * Utiliser comme valeur par défaut pour les dépôts venant d’être créés. Cliquez sur le menu déroulant Aucun, puis sélectionnez Public, Privé et interne ou Tous les dépôts.

    Remarque

    La security configuration par défaut d’une organisation est uniquement appliquée automatiquement aux nouveaux référentiels créés dans votre organisation. Si un référentiel est transféré dans votre organisation, vous devez toujours appliquer manuellement une security configuration au référentiel.

    •      **Appliquer la configuration**. Empêchez les propriétaires de dépôts de blocs de modifier les fonctionnalités activées ou désactivées par la configuration. (Les fonctionnalités non définies ne sont pas appliquées.) Sélectionnez **Appliquer** dans le menu déroulant.

    Remarque

    Certaines situations peuvent perturber l’application des security configurations. Consultez « Mise en œuvre de la configuration de sécurité ».

  3. Pour terminer la création de votre custom security configuration, cliquez sur Enregistrer la configuration.

Création d’une configuration GitHub Advanced Security

  1. Dans le coin supérieur droit de GitHub Enterprise Server, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.
  2. En haut de la page, cliquez sur Paramètres.
  3. Dans la barre latérale gauche, cliquez sur Advanced Security.
  4. Dans la section supérieure, cliquez sur Nouvelle configuration.
  5. Pour faciliter l’identification de votre custom security configuration et clarifier son objectif sur la page « Nouvelle configuration », nommez votre configuration et créez une description.
  6. Sur la ligne « Fonctionnalités GitHub Advanced Security », indiquez s’il faut inclure ou exclure des fonctionnalités GitHub Advanced Security (GHAS).
  7. Dans la table « Secret scanning », indiquez si vous souhaitez activer, désactiver ou conserver les paramètres existants pour les fonctionnalités de sécurité suivantes : * Alertes. Pour en savoir plus sur les Alertes de détection de secrets, consultez À propos de l’analyse des secrets. * Contrôles de validité. Pour en savoir plus sur les contrôles de validité des modèles de partenaire, consultez Évaluation des alertes à partir de l’analyse des secrets. * Modèles non fournisseurs. Pour en savoir plus sur l’analyse des modèles non fournisseurs, consultez Modèles de détection de secrets pris en charge et Affichage et filtrage des alertes à partir de l’analyse des secrets. * Protection push. Pour en savoir plus sur la protection push, consultez À propos de la protection lors du push. * Empêcher les rejets d’alerte directs. Pour en savoir plus, consultez Activation du rejet d’alerte délégué pour l’analyse des secrets.
  8. Dans la table « Code scanning », indiquez si vous souhaitez activer, désactiver ou conserver les paramètres existants pour la configuration par défaut code scanning. * Configuration par défaut. Pour en savoir plus, veuillez consulter la section Configuring default setup for code scanning.

Remarque

Pour créer une configuration que vous pouvez appliquer à tous les référentiels, quelle que soit la configuration actuelle code scanning, sélectionnez « Activé avec configuration avancée autorisée ». Ce paramètre active la configuration par défaut uniquement dans les référentiels où l'analyse CodeQL n'est pas activement exécutée. Option disponible à partir de GitHub Enterprise Server 3.19.

  •      **Type d’exécuteur**. Si vous souhaitez cibler des exécuteurs spécifiques pour code scanning, vous pouvez choisir d’utiliser des exécuteurs à étiquette personnalisée à cette étape. Consultez [AUTOTITLE](/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning#assigning-labels-to-runners). 

* 

          **Empêcher les rejets d’alerte directs**. Pour en savoir plus, consultez [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/enabling-delegated-alert-dismissal-for-code-scanning).

  1. Dans la table « Analyse des dépendances », indiquez si vous souhaitez activer, désactiver ou conserver les paramètres existants pour les fonctionnalités d’analyse des dépendances suivantes : * Graphique des dépendances. Pour en savoir plus sur le graphique des dépendances, consultez À propos du graphe de dépendances.

    Conseil

    Lorsque « GitHub Advanced Security » et le graphique des dépendances sont activés, cela permet l’examen des dépendances. Consultez À propos de la vérification des dépendances.

    •      **Alertes Dependabot**. Pour en savoir plus sur Dependabot, consultez [AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts).

    •      **Mises à jour de sécurité**. Pour en savoir plus sur les mises à jour de sécurité, consultez [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates).

  2. Dans la section « Stratégie », vous pouvez également contrôler la manière dont la configuration est appliquée à l’aide d’options supplémentaires : * Utiliser comme valeur par défaut pour les dépôts venant d’être créés. Cliquez sur le menu déroulant Aucun, puis sélectionnez Public, Privé et interne ou Tous les dépôts.

    Remarque

    La security configuration par défaut d’une organisation est uniquement appliquée automatiquement aux nouveaux référentiels créés dans votre organisation. Si un référentiel est transféré dans votre organisation, vous devez toujours appliquer manuellement une security configuration au référentiel.

    •      **Appliquer la configuration**. Empêchez les propriétaires de dépôts de blocs de modifier les fonctionnalités activées ou désactivées par la configuration. (Les fonctionnalités non définies ne sont pas appliquées.) Sélectionnez **Appliquer** dans le menu déroulant.

    Remarque

    Certaines situations peuvent perturber l’application des security configurations. Consultez « Mise en œuvre de la configuration de sécurité ».

  3. Pour terminer la création de votre custom security configuration, cliquez sur Enregistrer la configuration.

Étapes suivantes

Pour configurer éventuellement des paramètres secret scanning supplémentaires pour l’entreprise, consultez Configuration des paramètres d’analyse de secrets supplémentaires pour votre entreprise.

Pour appliquer votre custom security configuration aux dépôts de votre organisation, consultez Application d’une configuration de sécurité personnalisée.

Pour savoir comment modifier votre custom security configuration, consultez Modification d’une configuration de sécurité personnalisée.