À propos des fonctionnalités de sécurité de GitHub
GitHub dispose de fonctionnalités de sécurité qui aident à sécuriser le code et les secrets dans les dépôts et au sein des organisations. Certaines fonctionnalités sont disponibles pour tous les dépôts. Des fonctionnalités supplémentaires sont disponibles pour les entreprises qui utilisent GitHub Advanced Security. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».
La GitHub Advisory Database contient une liste organisée de vulnérabilités de sécurité que vous pouvez afficher, rechercher et filtrer. Pour plus d’informations, consultez « Exploration des avis de sécurité dans la base de données GitHub Advisory ».
Fonctionnalités disponibles pour tous les dépôts
Stratégie de sécurité
Permettez à vos utilisateurs de signaler de manière confidentielle les vulnérabilités de sécurité qu’ils ont détectées dans votre dépôt. Pour plus d’informations, consultez « Ajout d’une stratégie de sécurité à votre dépôt ».
Dependabot alerts et mises à jour de sécurité
Affichez des alertes sur les dépendances connues pour contenir des vulnérabilités de sécurité et choisissez si des demandes de tirage (pull request) sont générées automatiquement pour mettre à jour ces dépendances. Pour plus d’informations, consultez « À propos des alertes Dependabot » et « À propos des mises à jour de sécurité Dependabot ».
Vous pouvez utiliser les Règles de triage automatique de Dependabot par défaut, définies par GitHub, pour filtrer automatiquement un nombre important de faux positifs. Dismiss low impact issues for development-scoped dependencies
est une règle prédéfinie pour GitHub. Cette règle ignore automatiquement certains types de vulnérabilités trouvées dans les dépendances npm utilisées dans le cadre du développement. La règle a été organisée de manière à réduire les faux positifs et la fatigue des alertes. Vous ne pouvez pas modifier Présélections GitHub. Pour plus d’informations sur Présélections GitHub, consultez « Utilisation de règles prédéfinies GitHub pour classer les alertes Dependabot par ordre de priorité ».
Pour obtenir une vue d’ensemble des différentes caractéristiques offertes par Dependabot et des instructions de prise en main, consultez « Guide de démarrage rapide Dependabot .»
Dependabot version updates
Utilisez Dependabot pour déclencher automatiquement des demandes de tirage afin de maintenir vos dépendances à jour. Cela aide à réduire votre exposition aux versions antérieures des dépendances. L’utilisation de versions plus récentes facilite l’application de correctifs si des vulnérabilités de sécurité sont découvertes et facilite également le déclenchement de demandes de tirage par les Dependabot security updates pour la mise à niveau des dépendances vulnérables. Vous pouvez également personnaliser Dependabot version updates pour simplifier leur intégration dans vos référentiels. Pour plus d’informations, consultez « À propos des mises à jour de version Dependabot ».
Graphe de dépendances
Le graphe de dépendances vous permet d’explorer les écosystèmes et les packages dont dépend votre dépôt ainsi que les dépôts et les packages qui dépendent de votre dépôt.
Vous trouverez le graphe de dépendances sous l’onglet Insights de votre dépôt. Pour plus d’informations, consultez « À propos du graphe de dépendances ».
Si vous disposez au moins d’un accès en lecture au dépôt, vous pouvez exporter les graphe des dépendances pour le dépôt en tant que nomenclature logicielle compatible SPDX (SBOM), via l’interface utilisateur de GitHub ou l’API REST GitHub. Pour plus d’informations, consultez « Exportation d’une nomenclature logicielle pour votre dépôt ».
Présentation de la sécurité
La vue d’ensemble de la sécurité vous permet de passer en revue le paysage de sécurité global de votre organisation, d’afficher les tendances et d’autres insights, et de gérer les configurations de sécurité, ce qui vous permet de surveiller facilement le statut de sécurité de votre organisation et d’identifier les référentiels et les organisations qui courent le plus de risques. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ».
Fonctionnalités disponibles avec GitHub Advanced Security
Les fonctionnalités de GitHub Advanced Security sont disponibles pour les entreprises disposant d’une licence pour GitHub Advanced Security. Les fonctionnalités sont limitées aux dépôts appartenant à une organisation. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».
Code scanning
Détectez automatiquement les vulnérabilités de sécurité et les erreurs de codage dans le code nouveau ou modifié. Les problèmes potentiels sont mis en surbrillance, avec des informations détaillées, ce qui vous permet de corriger le code avant qu’il ne soit fusionné dans votre branche par défaut. Pour plus d’informations, consultez « À propos de l’analyse du code ».
Analyse des secrets
Détectez automatiquement les jetons ou les informations d’identification qui ont été archivés dans un dépôt. Vous pouvez voir les alertes relatives aux secrets trouvés par GitHub dans votre code, sous l’onglet Sécurité du dépôt. Ainsi, vous savez quels sont les jetons ou les informations d’identification dont la sécurité est compromise. Pour plus d’informations, consultez « À propos des alertes d’analyse des secrets »
Règles de triage automatique personnalisées
Vous aide à gérer vos Dependabot alerts à grande échelle. Les Règles de triage automatique personnalisées permettent de contrôler les alertes ignorées et désactivées temporairement, ou de déclencher un correctif de sécurité Dependabot. Pour plus d’informations, consultez « À propos des alertes Dependabot » et « Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité ».
Vérification des dépendances
Montrez l’impact complet des modifications apportées aux dépendances et examinez les détails de toutes les versions vulnérables avant de fusionner une demande de tirage. Pour plus d’informations, consultez « À propos de la vérification des dépendances ».