Fonctionnalités de sécurité de GitHub

Aperçu global des fonctionnalités de sécurité de GitHub.

Dans cet article

Présentation des fonctionnalités de sécurité de GitHub

Les fonctionnalités de sécurité de GitHub permettent de préserver votre code et vos informations sensibles au sein des référentiels et des organisations.

  • Certaines fonctionnalités sont accessibles sur l’ensemble des offres GitHub.
  • Des fonctionnalités complémentaires sont proposées aux organisations et aux entreprises utilisant GitHub Team et GitHub Enterprise Cloud ayant acquis un produit GitHub Advanced Security : * GitHub Secret Protection * GitHub Code Security
  • En outre, plusieurs fonctionnalités GitHub Secret Protection et GitHub Code Security peuvent être utilisées gratuitement sur des référentiels publics.

Disponible sur tous les forfaits GitHub

Les fonctionnalités de sécurité suivantes sont accessibles indépendamment du forfait GitHub auquel vous êtes abonné. L’achat de GitHub Secret Protection or GitHub Code Security n’est pas requis pour utiliser ces fonctionnalités.

La majorité de ces fonctionnalités est disponible pour les référentiels publics, internes et privés. Certaines fonctionnalités sont exclusivement réservées aux référentiels publics.

Stratégie de sécurité

Permettez à vos utilisateurs de signaler de manière confidentielle les vulnérabilités de sécurité qu’ils ont détectées dans votre dépôt. Pour plus d’informations, consultez « Ajout d’une stratégie de sécurité à votre dépôt ».

Graphe de dépendances

Le graphe de dépendances vous permet d’explorer les écosystèmes et les packages dont dépend votre dépôt ainsi que les dépôts et les packages qui dépendent de votre dépôt.

Vous trouverez le graphe de dépendances sous l’onglet Insights de votre dépôt. Pour plus d’informations, consultez « À propos du graphe de dépendances ».

Nomenclature logicielle (SBOM)

Vous pouvez exporter le graphique des dépendances de votre référentiel sous la forme d’une nomenclature logicielle (SBOM) conforme à la norme SPDX. Pour plus d’informations, consultez « Exportation d’une nomenclature logicielle pour votre dépôt ».

GitHub Advisory Database

La GitHub Advisory Database contient une liste organisée de vulnérabilités de sécurité que vous pouvez afficher, rechercher et filtrer. Pour plus d’informations, consultez « Exploration des avis de sécurité dans la base de données GitHub Advisory ».

Dependabot alerts et mises à jour de sécurité

Affichez des alertes sur les dépendances connues pour contenir des vulnérabilités de sécurité et choisissez si des demandes de tirage (pull request) sont générées automatiquement pour mettre à jour ces dépendances. Pour plus d’informations, consultez « À propos des alertes Dependabot » et « À propos des mises à jour de sécurité Dependabot ».

Vous pouvez également exploiter les règles par défaut Règles de triage automatique de Dependabot définies par GitHub afin de filtrer automatiquement un grand nombre de faux positifs.

Pour obtenir une vue d’ensemble des différentes caractéristiques offertes par Dependabot et des instructions de prise en main, consultez Guide de démarrage rapide Dependabot.

Dependabot malware alerts

Sur GitHub.com et GitHub Enterprise Server 3.22+, vous pouvez consulter les alertes pour les dépendances malveillantes dans votre dépôt. Consultez « Alertes de programmes malveillants Dependabot ».

Dependabot version updates

Utilisez Dependabot pour déclencher automatiquement des demandes de tirage afin de maintenir vos dépendances à jour. Cela aide à réduire votre exposition aux versions antérieures des dépendances. L’utilisation de versions plus récentes facilite l’application de correctifs si des vulnérabilités de sécurité sont découvertes et facilite également le déclenchement de demandes de tirage par les Dependabot security updates pour la mise à niveau des dépendances vulnérables. Vous avez aussi la possibilité de personnaliser Dependabot version updates pour optimiser leur intégration au sein de vos référentiels. Pour plus d’informations, consultez « À propos des mises à jour de version Dependabot ».

Avis de sécurité

Échangez de manière confidentielle et corrigez les vulnérabilités de sécurité présentes dans le code de votre référentiel public. Vous pouvez ensuite publier un avis de sécurité pour alerter votre communauté sur la vulnérabilité et encourager les membres de la communauté à effectuer une mise à niveau. Pour plus d’informations, consultez « À propos des avis de sécurité des référentiels ».

Ensembles de règles d'un dépôt

Appliquez de façon cohérente des normes de code, de sécurité et de conformité sur l’ensemble des branches et des balises. Pour plus d’informations, consultez « À propos des ensembles de règles ».

Attestations d’artefacts

Générez des garanties infalsifiables de provenance et d’intégrité pour les logiciels que vous développez. Pour plus d’informations, consultez « Utilisation des attestations d’artefacts pour établir la provenance des builds ».

Alertes de détection de secrets destinées aux partenaires

Lorsque GitHub identifie une fuite de secret dans un référentiel public ou un package npm public, GitHub avertit le fournisseur de services concerné qu’un secret peut être compromis. Pour davantage d’informations sur les secrets et les fournisseurs de services pris en charge, consultez Modèles de détection de secrets pris en charge.

Protection d’envoi pour les utilisateurs

La protection du push pour les utilisateurs empêche automatiquement la validation accidentelle de secrets dans des référentiels publics, indépendamment de l’activation ou non de secret scanning au niveau du référentiel. La protection du push pour les utilisateurs est activée par défaut, avec la possibilité de la désactiver à tout moment depuis les paramètres de votre compte personnel. Pour plus d’informations, consultez « Gestion de la protection push pour les utilisateurs ».

Disponible avec GitHub Secret Protection

Pour les comptes sur GitHub Team et GitHub Enterprise Cloud, l’achat de GitHub Secret Protection donne accès à des fonctionnalités de sécurité supplémentaires.

GitHub Secret Protection regroupe des fonctionnalités destinées à vous aider à détecter et à prévenir les fuites de secrets, notamment secret scanning et la protection des poussées.

Ces fonctionnalités sont proposées pour l’ensemble des types de référentiels. Certaines de ces fonctionnalités sont accessibles gratuitement pour les référentiels publics, ce qui signifie qu’il n’est pas nécessaire d’acheter GitHub Secret Protection pour les activer sur un référentiel public.

Alertes d’analyse de secrets pour les utilisateurs

Détectez automatiquement les jetons ou les informations d’identification qui ont été archivés dans un dépôt. Vous pouvez consulter les alertes associées à tous les secrets que GitHub détecte dans votre code depuis l’onglet Sécurité du référentiel, afin d’identifier les jetons ou informations d’identification à considérer comme compromis. Pour plus d’informations, consultez « À propos des alertes d’analyse des secrets ».

Disponible pour les référentiels publics par défaut.

Analyse des secrets de Copilot

La détection générique des secrets de est une extension basée sur l’IA de secret scanning qui analyse les secrets non structurés, tels que les mots de passe, dans votre code source, puis déclenche une alerte. Pour plus d’informations, consultez « Détection responsable des secrets génériques avec l'analyse des secrets par Copilot ».

Protection push.

La protection contre le push analyse de manière proactive votre code ainsi que celui de l’ensemble des contributeurs du référentiel à la recherche de secrets lors du processus de push, et bloque celui-ci lorsqu’un secret est détecté. Si un contributeur contourne ce blocage, GitHub génère une alerte. Pour plus d’informations, consultez « À propos de la protection lors du push ».

Disponible pour les référentiels publics par défaut.

Contournement délégué pour la protection des poussées

Le contournement délégué pour la protection des poussées permet de définir les personnes, rôles et équipes autorisés à contourner la protection, et met en place un processus de révision et d’approbation pour les poussées contenant des secrets. Pour plus d’informations, consultez « À propos du contournement délégué pour la protection push ».

Modèles personnalisés

Vous pouvez créer des modèles personnalisés afin d’identifier des secrets qui ne sont pas couverts par les modèles par défaut pris en charge par secret scanning, notamment des modèles propres à votre organisation. Pour plus d’informations, consultez « Définition de modèles personnalisés pour l’analyse des secrets ».

Vue d’ensemble de la sécurité

La vue d’ensemble de la sécurité permet d’analyser le paysage global de la sécurité de votre organisation, d’examiner les tendances et autres informations clés, et de gérer les configurations de sécurité, facilitant ainsi la surveillance de l’état de sécurité et l’identification des référentiels et organisations les plus exposés. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ».

Disponible avec GitHub Code Security

Pour les comptes sur GitHub Team et GitHub Enterprise Cloud, des fonctionnalités de sécurité supplémentaires sont accessibles après l’achat de GitHub Code Security.

GitHub Code Security inclut des fonctionnalités conçues pour détecter et corriger les vulnérabilités, telles que code scanning, les fonctionnalités premium de Dependabot et la vérification des dépendances.

Ces fonctionnalités sont proposées pour l’ensemble des types de référentiels. Certaines de ces fonctionnalités sont proposées gratuitement pour les référentiels publics, ce qui signifie qu’il n’est pas nécessaire d’acheter GitHub Code Security pour les activer sur un référentiel public.

Code scanning

Détectez automatiquement les vulnérabilités de sécurité et les erreurs de codage dans le code nouveau ou modifié. Les problèmes potentiels sont mis en surbrillance, avec des informations détaillées, ce qui vous permet de corriger le code avant qu’il ne soit fusionné dans votre branche par défaut. Pour plus d’informations, consultez « À propos de l’analyse du code ».

Disponible pour les référentiels publics par défaut.

CodeQL CLI

Exécutez les processus CodeQL localement sur des projets logiciels ou afin de générer des résultats code scanning à importer dans GitHub. Pour plus d’informations, consultez « À propos de CodeQL CLI ».

Disponible pour les référentiels publics par défaut.

Copilot correction automatique

Obtenez des correctifs générés automatiquement pour les alertes code scanning. Pour plus d’informations, consultez « Utilisation responsable de Copilot Autofix pour l’analyse du code ».

Disponible pour les référentiels publics par défaut.

Règles de triage automatique personnalisées pour Dependabot

Vous aide à gérer vos Dependabot alerts à grande échelle. Les Règles de triage automatique personnalisées permettent de contrôler les alertes ignorées et désactivées temporairement, ou de déclencher un correctif de sécurité Dependabot. Pour plus d’informations, consultez « À propos des alertes Dependabot » et « Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité ».

Vérification des dépendances

Montrez l’impact complet des modifications apportées aux dépendances et examinez les détails de toutes les versions vulnérables avant de fusionner une demande de tirage. Pour plus d’informations, consultez « À propos de la vérification des dépendances ».

Disponible pour les référentiels publics par défaut.

Campagnes de sécurité

Corrigez les alertes de sécurité à grande échelle en créant des campagnes de sécurité et en collaborant avec les développeurs pour réduire votre backlog de sécurité. Pour plus d’informations, consultez « À propos des campagnes de sécurité ».

Vue d’ensemble de la sécurité

La vue d’ensemble de la sécurité permet d’analyser le paysage global de la sécurité de votre organisation, d’examiner les tendances et autres informations clés, et de gérer les configurations de sécurité, facilitant ainsi la surveillance de l’état de sécurité et l’identification des référentiels et organisations les plus exposés. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ».

Utilisez GitHub Copilot Chat afin de comprendre les alertes de sécurité

Avec une licence GitHub Copilot Enterprise, il est également possible de solliciter GitHub Copilot Chat pour mieux comprendre les alertes de sécurité dans les référentiels de votre organisation à partir des fonctionnalités GitHub Advanced Security (code scanning, secret scanning et Dependabot alerts). Pour plus d’informations, consultez « Poser des questions à GitHub Copilot sur GitHub ».

Pour aller plus loin

  •         [AUTOTITLE](/get-started/learning-about-github/githubs-plans)

  •         [AUTOTITLE](/get-started/learning-about-github/about-github-advanced-security)

  •         [AUTOTITLE](/get-started/learning-about-github/github-language-support)