Création d’une configuration de sécurité personnalisée

Si vous êtes familier avec les produits de sécurité de GitHub et que vous avez des besoins de sécurité spécifiques auxquels la GitHub-recommended security configuration ne peut pas répondre, vous pouvez créer et appliquer des custom security configurations. Pour plus d’informations, consultez « Configurations de sécurité ».

Création d’une configuration Secret Protection and Code Security

1. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil, puis sur Vos organisations.

2. Sous le nom de votre organisation, cliquez sur Settings. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

   

3. Dans la section « Sécurité » de la barre latérale, sélectionnez le menu déroulant Advanced Security, puis cliquez sur Configurations.

4. Dans la section « Security configurations », cliquez sur Nouvelle configuration.

5. Pour vous aider à identifier votre custom security configuration et clarifier son objectif sur la page « Security configurations », nommez votre configuration et créez une description.

6. Vous pouvez également activer « Secret Protection », une fonctionnalité payante pour les dépôts privés . L’activation de Secret Protection active les alertes pour secret scanning. De plus, vous pouvez choisir d’activer, de désactiver ou de conserver les paramètres existants pour les fonctionnalités secret scanning suivantes : * Contrôles de validité. Pour en savoir plus sur les vérifications de validité pour les modèles de partenaires, consultez À propos des vérifications de validité et Évaluation des alertes à partir de l’analyse des secrets. * Métadonnées étendues. Pour en savoir plus sur les vérifications de métadonnées étendues, consultez À propos des vérifications de métadonnées étendues et Évaluation des alertes à partir de l’analyse des secrets.

   Remarque

   Vous ne pouvez activer que les vérifications de métadonnées étendues si les vérifications de validité sont activées.

   •     **Modèles non fournisseurs**. Pour en savoir plus sur l’analyse des modèles non fournisseurs, consultez [AUTOTITLE](/code-security/secret-scanning/introduction/supported-secret-scanning-patterns#non-provider-patterns) et [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning/viewing-alerts).
     

   •     **Analyser les mots de passe génériques**. Pour en savoir plus, consultez [AUTOTITLE](/code-security/secret-scanning/copilot-secret-scanning/responsible-ai-generic-secrets).
     

   •     **Protection push**. Pour en savoir plus sur la protection push, consultez [AUTOTITLE](/code-security/secret-scanning/introduction/about-push-protection).
     

   •     **Privilèges de contournement**. En affectant des privilèges de contournement, les membres de l’organisation sélectionnés peuvent contourner la protection push et il existe un processus d’examen et d’approbation pour tous les autres contributeurs. Consultez [AUTOTITLE](/code-security/secret-scanning/using-advanced-secret-scanning-and-push-protection-features/delegated-bypass-for-push-protection/about-delegated-bypass-for-push-protection).
     

   •     **Empêcher les rejets d’alerte directs**. Pour en savoir plus, consultez [AUTOTITLE](/code-security/secret-scanning/using-advanced-secret-scanning-and-push-protection-features/enabling-delegated-alert-dismissal-for-secret-scanning).
     

7. Vous pouvez également activer « Code Security », une fonctionnalité payante pour les dépôts privés . Vous pouvez choisir d’activer, de désactiver ou de conserver les paramètres existants pour les fonctionnalités suivantes code scanning : * Configuration par défaut. Pour en savoir plus sur la configuration par défaut, consultez Définition de la configuration par défaut pour l’analyse du code.

   •     **Empêcher les rejets d’alerte directs**. Pour en savoir plus, consultez [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/enabling-delegated-alert-dismissal-for-code-scanning).
     

8. Toujours sous « Code Security », dans la table « Analyse des dépendances », indiquez si vous souhaitez activer, désactiver ou conserver les paramètres existants pour les fonctionnalités d’analyse des dépendances suivantes : * Graphique des dépendances. Pour en savoir plus sur le graphique des dépendances, consultez À propos du graphe de dépendances.

   Conseil

   Lorsque « Code Security » et le graphique des dépendances sont activés, cela permet l’examen des dépendances. Consultez À propos de la vérification des dépendances.

   •      **Envoi automatique des dépendances**. Pour en savoir plus sur l’envoi automatique des dépendances, consultez [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-automatic-dependency-submission-for-your-repository).
     

   •      **Alertes Dependabot**. Pour en savoir plus sur Dependabot, consultez [AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts).
     

   •      **Mises à jour de sécurité**. Pour en savoir plus sur les mises à jour de sécurité, consultez [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates). 
     

   •      **Empêcher les rejets d’alerte directs**. Pour en savoir plus, consultez [AUTOTITLE](/code-security/dependabot/dependabot-alerts/enable-delegated-alert-dismissal). 
     

9. Pour « Signalement privé des vulnérabilités », indiquez si vous souhaitez activer, désactiver ou conserver les paramètres existants. Pour en savoir plus sur le signalement privé des vulnérabilités, consultez Configuration de rapports de vulnérabilité privés pour un dépôt.

10. Dans la section « Stratégie », vous pouvez également contrôler la manière dont la configuration est appliquée à l’aide d’options supplémentaires : * Utiliser comme valeur par défaut pour les dépôts venant d’être créés. Cliquez sur le menu déroulant Aucun, puis sélectionnez Public, Privé et interne ou Tous les dépôts.

    Remarque

    La security configuration par défaut d’une organisation est uniquement appliquée automatiquement aux nouveaux référentiels créés dans votre organisation. Si un référentiel est transféré dans votre organisation, vous devez toujours appliquer manuellement une security configuration au référentiel.

    •      **Appliquer la configuration**. Empêchez les propriétaires de dépôts de blocs de modifier les fonctionnalités activées ou désactivées par la configuration. (Les fonctionnalités non définies ne sont pas appliquées.) Sélectionnez **Appliquer** dans le menu déroulant.
      

Création d’une configuration GitHub Advanced Security

1. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil, puis sur Vos organisations.

2. Sous le nom de votre organisation, cliquez sur Settings. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

   

3. Dans la section « Sécurité » de la barre latérale, sélectionnez le menu déroulant Advanced Security, puis cliquez sur Configurations.

4. Dans la section « Configurations de sécurité », cliquez sur Nouvelle configuration.

5. Pour faciliter l’identification de votre custom security configuration et clarifier son objectif sur la page « Nouvelle configuration », nommez votre configuration et créez une description.

6. Sur la ligne « Fonctionnalités GitHub Advanced Security », indiquez s’il faut inclure ou exclure des fonctionnalités GitHub Advanced Security (GHAS).

7. Dans la table « Secret scanning », indiquez si vous souhaitez activer, désactiver ou conserver les paramètres existants pour les fonctionnalités de sécurité suivantes : * Contrôles de validité. Pour en savoir plus sur les contrôles de validité des modèles de partenaire, consultez Évaluation des alertes à partir de l’analyse des secrets. * Modèles non fournisseurs. Pour en savoir plus sur l’analyse des modèles non fournisseurs, consultez Modèles de détection de secrets pris en charge et Affichage et filtrage des alertes à partir de l’analyse des secrets. * Analyser les mots de passe génériques. Pour en savoir plus, consultez Détection responsable des secrets génériques avec l’analyse des secrets Copilot. * Protection push. Pour en savoir plus sur la protection push, consultez À propos de la protection lors du push. * Privilèges de contournement. En affectant des privilèges de contournement, les membres de l’organisation sélectionnés peuvent contourner la protection push et il existe un processus d’examen et d’approbation pour tous les autres contributeurs. Consultez À propos du contournement délégué pour la protection push. * Empêcher les rejets d’alerte directs. Pour en savoir plus, consultez Activation du rejet d’alerte délégué pour l’analyse des secrets.

8. Dans la table « Code scanning », indiquez si vous souhaitez activer, désactiver ou conserver les paramètres existants pour la configuration par défaut code scanning. * Configuration par défaut. Pour en savoir plus sur la configuration par défaut, consultez Définition de la configuration par défaut pour l’analyse du code.

   •     **Empêcher les rejets d’alerte directs**. Pour en savoir plus, consultez [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/enabling-delegated-alert-dismissal-for-code-scanning).
     

9. Dans la table « Analyse des dépendances », indiquez si vous souhaitez activer, désactiver ou conserver les paramètres existants pour les fonctionnalités d’analyse des dépendances suivantes : * Graphique des dépendances. Pour en savoir plus sur le graphique des dépendances, consultez À propos du graphe de dépendances.

   Conseil

   Lorsque « GitHub Advanced Security » et le graphique des dépendances sont activés, cela permet l’examen des dépendances. Consultez À propos de la vérification des dépendances.

   •      **Envoi automatique des dépendances**. Pour en savoir plus sur l’envoi automatique des dépendances, consultez [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-automatic-dependency-submission-for-your-repository).
     

   •      **Alertes Dependabot**. Pour en savoir plus sur Dependabot, consultez [AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts).
     

   •      **Mises à jour de sécurité**. Pour en savoir plus sur les mises à jour de sécurité, consultez [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates). 
     

   •      **Empêcher les rejets d’alerte directs**. Pour en savoir plus, consultez [AUTOTITLE](/code-security/dependabot/dependabot-alerts/enable-delegated-alert-dismissal). 
     

10. Pour « Signalement privé des vulnérabilités », indiquez si vous souhaitez activer, désactiver ou conserver les paramètres existants. Pour en savoir plus sur le signalement privé des vulnérabilités, consultez Configuration de rapports de vulnérabilité privés pour un dépôt.

11. Dans la section « Stratégie », vous pouvez également contrôler la manière dont la configuration est appliquée à l’aide d’options supplémentaires : * Utiliser comme valeur par défaut pour les dépôts venant d’être créés. Cliquez sur le menu déroulant Aucun, puis sélectionnez Public, Privé et interne ou Tous les dépôts.

    Remarque

    La security configuration par défaut d’une organisation est uniquement appliquée automatiquement aux nouveaux référentiels créés dans votre organisation. Si un référentiel est transféré dans votre organisation, vous devez toujours appliquer manuellement une security configuration au référentiel.

    •      **Appliquer la configuration**. Empêchez les propriétaires de dépôts de blocs de modifier les fonctionnalités activées ou désactivées par la configuration. (Les fonctionnalités non définies ne sont pas appliquées.) Sélectionnez **Appliquer** dans le menu déroulant.
      

Étapes suivantes

Pour appliquer votre custom security configuration aux dépôts de votre organisation, consultez Application d’une configuration de sécurité personnalisée.

Pour savoir comment modifier votre custom security configuration, consultez Modification d’une configuration de sécurité personnalisée.