À propos des fonctionnalités de sécurité de GitHub
Les fonctionnalités de sécurité de GitHub permettent de protéger votre code et vos secrets dans les référentiels et au sein des organisations.
- Certaines fonctionnalités sont disponibles pour tous les plans GitHub.
- Des fonctionnalités supplémentaires sont disponibles pour les organisations sur GitHub Team et GitHub Enterprise Cloud qui achètent un produit GitHub Advanced Security :
- De plus, un certain nombre de fonctionnalités GitHub Secret Protection et GitHub Code Security peuvent être exécutées gratuitement sur des référentiels publics.
Disponibles pour tous les plans GitHub
Les fonctionnalités de sécurité suivantes sont à votre disposition, quel que soit votre plan GitHub. Vous n’avez pas besoin d’acheter GitHub Secret Protection or GitHub Code Security pour utiliser ces fonctionnalités.
La plupart de ces fonctionnalités sont disponibles pour les référentiels publics et privés. Certaines fonctionnalités sont uniquement disponibles pour les référentiels publics.
Stratégie de sécurité
Permettez à vos utilisateurs de signaler de manière confidentielle les vulnérabilités de sécurité qu’ils ont détectées dans votre dépôt. Pour plus d’informations, consultez « Ajout d’une stratégie de sécurité à votre dépôt ».
Graphe de dépendances
Le graphe de dépendances vous permet d’explorer les écosystèmes et les packages dont dépend votre dépôt ainsi que les dépôts et les packages qui dépendent de votre dépôt.
Vous trouverez le graphe de dépendances sous l’onglet Insights de votre dépôt. Pour plus d’informations, consultez « À propos du graphe de dépendances ».
Nomenclature logicielle (SBOM)
Vous pouvez exporter le graphe des dépendances de votre référentiel sous la forme d’une nomenclature logicielle (SBOM) compatible avec SPDX. Pour plus d’informations, consultez « Exportation d’une nomenclature logicielle pour votre dépôt ».
GitHub Advisory Database
La GitHub Advisory Database contient une liste organisée de vulnérabilités de sécurité que vous pouvez afficher, rechercher et filtrer. Pour plus d’informations, consultez « Exploration des avis de sécurité dans la base de données GitHub Advisory ».
Dependabot alerts et mises à jour de sécurité
Affichez des alertes sur les dépendances connues pour contenir des vulnérabilités de sécurité et choisissez si des demandes de tirage (pull request) sont générées automatiquement pour mettre à jour ces dépendances. Pour plus d’informations, consultez « À propos des alertes Dependabot » et « À propos des mises à jour de sécurité Dependabot ».
Vous pouvez également utiliser le Règles de triage automatique de Dependabot par défaut, sélectionné par GitHub, pour filtrer automatiquement une quantité importante de faux positifs.
Pour obtenir une vue d’ensemble des différentes caractéristiques offertes par Dependabot et des instructions de prise en main, consultez Guide de démarrage rapide Dependabot.
Dependabot version updates
Utilisez Dependabot pour déclencher automatiquement des demandes de tirage afin de maintenir vos dépendances à jour. Cela aide à réduire votre exposition aux versions antérieures des dépendances. L’utilisation de versions plus récentes facilite l’application de correctifs si des vulnérabilités de sécurité sont découvertes et facilite également le déclenchement de demandes de tirage par les Dependabot security updates pour la mise à niveau des dépendances vulnérables. Vous pouvez également personnaliser Dependabot version updates pour simplifier leur intégration dans vos référentiels. Pour plus d’informations, consultez « À propos des mises à jour de version Dependabot ».
Avis de sécurité
Discutez et corrigez en privé les vulnérabilités de sécurité dans le code de votre référentiel public. Vous pouvez ensuite publier un avis de sécurité pour alerter votre communauté sur la vulnérabilité et encourager les membres de la communauté à effectuer une mise à niveau. Pour plus d’informations, consultez « À propos des avis de sécurité des référentiels ».
Ensembles de règles de référentiel
Appliquez des normes de code, de sécurité et de conformité cohérentes sur les branches et étiquettes. Pour plus d’informations, consultez « À propos des ensembles de règles ».
Attestations d’artefacts
Créez des garanties de provenance et d’intégrité non falsifiables pour les logiciels que vous développez. Pour plus d’informations, consultez « Utilisation d’attestations d’artefact pour établir la provenance des builds ».
Note
Si vous avez un plan GitHub Free, GitHub Pro ou GitHub Team, les attestations d’artefact sont disponibles uniquement pour les référentiels publics. Pour utiliser des attestations d’artefact dans des référentiels privés ou internes, vous devez utiliser un plan GitHub Enterprise Cloud.
Alertes d’analyse des secrets pour les partenaires
Lorsque GitHub détecte une fuite de secret dans un référentiel public ou dans un package npm public, GitHub informe le fournisseur de services approprié que le secret peut être compromis. Pour plus d’informations sur les secrets et les fournisseurs de services pris en charge, consultez Modèles d’analyse de secrets pris en charge.
Protection par émission de données pour les utilisateurs
La protection push pour les utilisateurs vous protège automatiquement contre la validation accidentelle des secrets dans les référentiels publics, que l'option secret scanning soit activée ou non pour le référentiel lui-même. La protection push pour les utilisateurs est activée par défaut, mais vous pouvez désactiver la caractéristique à tout moment via vos paramètres de compte personnel. Pour plus d’informations, consultez « Protection par émission de données pour les utilisateurs ».
Disponible avec GitHub Secret Protection
Pour les comptes sur GitHub Team et GitHub Enterprise Cloud, vous pouvez accéder à des fonctionnalités de sécurité supplémentaires lorsque vous achetez GitHub Secret Protection.
GitHub Secret Protection inclut des fonctionnalités qui vous aident à détecter et à empêcher les fuites de secrets, telles que secret scanning et la protection d’envoi (push).
Ces fonctionnalités sont disponibles pour tous les types de référentiels. Certaines de ces fonctionnalités sont disponibles gratuitement pour les référentiels publics, ce qui signifie que vous n’avez pas besoin d’acheter GitHub Secret Protection pour activer la fonctionnalité sur un référentiel public.
Alertes d’analyse des secrets pour les utilisateurs
Détectez automatiquement les jetons ou les informations d’identification qui ont été archivés dans un dépôt. Vous pouvez afficher les alertes pour tous les secrets que GitHub trouve dans votre code, dans l’onglet Sécurité du référentiel, afin de savoir quels jetons ou informations d’identification traiter comme compromis. Pour plus d’informations, consultez « À propos des alertes d’analyse des secrets ».
Disponible pour les référentiels publics par défaut.
Analyse des secrets Copilot
La détection générique des secrets de Analyse des secrets Copilot est une extension basée sur l’IA de secret scanning qui identifie les secrets non structurés (mots de passe) dans votre code source, puis génère une alerte. Pour plus d’informations, consultez « Détection responsable des secrets génériques avec l’analyse des secrets Copilot ».
Protection push.
La protection d’envoi (push) analyse de manière proactive votre code, ainsi que celui de tout contributeur au référentiel, à la recherche de secrets pendant le processus d’envoi et bloque l’envoi si des secrets sont détectés. Si un contributeur contourne le blocage, GitHub crée une alerte. Pour plus d’informations, consultez « À propos de la protection push ».
Disponible pour les référentiels publics par défaut.
Contournement délégué pour la protection Push
Le contournement délégué de la protection d’envoi (push) vous permet de contrôler quelles personnes, quels rôles et quelles équipes peuvent contourner la protection d’envoi (push), et met en œuvre un cycle de révision et d’approbation pour les envois contenant des secrets. Pour plus d’informations, consultez « À propos du contournement délégué pour la protection Push ».
Modèles personnalisées
Vous pouvez définir des modèles personnalisés pour identifier les secrets qui ne sont pas détectés par les modèles par défaut pris en charge par secret scanning, tels que les modèles internes à votre organisation. Pour plus d’informations, consultez « Définition de modèles personnalisés pour l’analyse des secrets ».
Vue d’ensemble de la sécurité
La vue d’ensemble de la sécurité vous permet de passer en revue le paysage de sécurité global de votre organisation, d’afficher les tendances et d’autres insights, et de gérer les configurations de sécurité, ce qui vous permet de surveiller facilement le statut de sécurité de votre organisation et d’identifier les référentiels et les organisations qui courent le plus de risques. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ».
Disponible avec GitHub Code Security
Pour les comptes sur GitHub Team et GitHub Enterprise Cloud, vous pouvez accéder à des fonctionnalités de sécurité supplémentaires lorsque vous achetez GitHub Code Security.
GitHub Code Security inclut des fonctionnalités qui vous aident à trouver et à corriger les vulnérabilités, telles que code scanning, des fonctionnalités premium Dependabot et la revue des dépendances.
Ces fonctionnalités sont disponibles pour tous les types de référentiels. Certaines de ces fonctionnalités sont disponibles gratuitement pour les référentiels publics, ce qui signifie que vous n’avez pas besoin d’acheter GitHub Code Security pour activer la fonctionnalité sur un référentiel public.
Code scanning
Détectez automatiquement les vulnérabilités de sécurité et les erreurs de codage dans le code nouveau ou modifié. Les problèmes potentiels sont mis en surbrillance, avec des informations détaillées, ce qui vous permet de corriger le code avant qu’il ne soit fusionné dans votre branche par défaut. Pour plus d’informations, consultez « À propos de l’analyse du code ».
Disponible pour les référentiels publics par défaut.
CodeQL CLI
Exécutez les processus CodeQL localement sur des projets logiciels ou pour générer des résultats code scanning à télécharger sur GitHub. Pour plus d’informations, consultez « À propos de CodeQL CLI ».
Disponible pour les référentiels publics par défaut.
Copilot Autofix
Obtenez automatiquement les correctifs générés pour les alertes code scanning. Pour plus d’informations, consultez « Utilisation responsable de Copilot Autofix pour l’analyse du code ».
Disponible pour les référentiels publics par défaut.
Règles de triage automatique personnalisées pour Dependabot
Vous aide à gérer vos Dependabot alerts à grande échelle. Les Règles de triage automatique personnalisées permettent de contrôler les alertes ignorées et désactivées temporairement, ou de déclencher un correctif de sécurité Dependabot. Pour plus d’informations, consultez « À propos des alertes Dependabot » et « Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité ».
Vérification des dépendances
Montrez l’impact complet des modifications apportées aux dépendances et examinez les détails de toutes les versions vulnérables avant de fusionner une demande de tirage. Pour plus d’informations, consultez « À propos de la vérification des dépendances ».
Disponible pour les référentiels publics par défaut.
Campagnes de sécurité
Corrigez les alertes de sécurité à grande échelle en créant des campagnes de sécurité et en collaborant avec les développeurs pour réduire votre backlog de sécurité. Pour plus d’informations, consultez « À propos des campagnes de sécurité ».
Vue d’ensemble de la sécurité
La vue d’ensemble de la sécurité vous permet de passer en revue le paysage de sécurité global de votre organisation, d’afficher les tendances et d’autres insights, et de gérer les configurations de sécurité, ce qui vous permet de surveiller facilement le statut de sécurité de votre organisation et d’identifier les référentiels et les organisations qui courent le plus de risques. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ».