À propos de GitHub-recommended security configuration
La GitHub-recommended security configuration est un ensemble de meilleures pratiques et de fonctionnalités qui offrent aux entreprises un dispositif de sécurité de base solide. Cette configuration est créée et gérée par des experts en matière de sujets à GitHub, avec l’aide de plusieurs leaders et experts du secteur. Le GitHub-recommended security configuration est conçu pour réduire avec succès les risques de sécurité pour les dépôts à faible et à fort impact. Nous vous recommandons d'appliquer cette configuration à tous les référentiels de votre entreprise.
Warning
GitHub peut ajouter de nouvelles fonctionnalités au GitHub-recommended security configuration sans avertissement. Si vous avez des préoccupations et préférez tester les fonctionnalités avant qu’elles ne soient activées, nous vous suggérons de ne pas utiliser GitHub-recommended security configuration.
Appliquer la GitHub-recommended security configuration aux dépôts dans votre entreprise
-
Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil.
-
En fonction de votre environnement, cliquez sur Votre entreprise ou sur Vos entreprises, puis cliquez sur l'entreprise que vous souhaitez consulter.
-
Sur le côté gauche de la page, dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.
-
Dans la barre latérale gauche, cliquez sur Sécurité du code.
-
Dans la ligne « GitHub recommandée » du tableau des configurations de votre organisation, sélectionnez le menu déroulant Appliquer à , puis cliquez sur Tous les dépôts ou Tous les dépôts sans configuration.
-
Si vous le souhaitez, dans la boîte de dialogue de confirmation, vous pouvez choisir d’appliquer automatiquement la security configuration aux référentiels récemment créés en fonction de leur visibilité. Sélectionnez le menu déroulant Aucun , puis cliquez sur Public ou Privé et interne, ou les deux.
-
Pour appliquer la security configuration, cliquez sur Appliquer.
Les security configuration sont appliquées aux référentiels actifs et archivés, car certaines fonctionnalités de sécurité s’exécutent sur des référentiels archivés, par exemple secret scanning. En outre, si un référentiel est ultérieurement désarchivé, vous pouvez avoir la certitude qu’il est protégé par la security configuration.
Si security configurationsne parvient pas à s’appliquer à certaines organisations de votre entreprise GitHub affiche une bannière sur l’IU pour vous informer. Vous pouvez cliquer sur les liens de la bannière pour obtenir plus d’informations sur les organisations et les référentiels impliqués.
Application de la GitHub-recommended security configuration
- Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil.
- En fonction de votre environnement, cliquez sur Votre entreprise ou sur Vos entreprises, puis cliquez sur l'entreprise que vous souhaitez consulter.
- Sur le côté gauche de la page, dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.
- Dans la barre latérale gauche, cliquez sur Sécurité du code.
- Dans la section « Configurations », sélectionnez « GitHub recommended ».
- Dans la section « Stratégie », à côté de « Appliquer la configuration », sélectionnez Appliquer dans le menu déroulant.
Note
Si un utilisateur de votre entreprise tente de modifier l'état d'activation d'une fonctionnalité dans une configuration imposée à l'aide de l'API REST, l'appel à l'API semblera réussir, mais aucun état d'activation ne sera modifié.
Certaines situations peuvent compromettre l'application des security configurations pour un référentiel. Par exemple, l'activation de code scanning ne s'appliquera pas à un référentiel si :
- GitHub Actions est initialement activée sur le référentiel, mais est ensuite désactivée dans le référentiel.
- Les GitHub Actions requises par les code scanning configurations ne sont pas disponibles dans le référentiel.
- La définition des langues qui ne doivent pas être analysées à l'aide de code scanning est modifiée.