Évaluation de l’adoption des fonctionnalités de sécurité

Découvrez quelles équipes et référentiels ont déjà activé les fonctionnalités de codage sécurisé et identifiez les éléments qui ne sont pas encore protégés.

Qui peut utiliser cette fonctionnalité ?

L’accès nécessite :

  • Vues de l’organisation : accès en écriture aux référentiels de l’organisation
  • Vues d’entreprise : propriétaires et responsables de la sécurité de l’organisation

Organisations appartenant à un compte GitHub Team avec GitHub Secret Protection or GitHub Code Security, ou appartenant à un compte GitHub Enterprise

Dans cet article

Vous pouvez utiliser la vue d’ensemble de la sécurité pour voir quels dépôts et quelles équipes ont déjà activé chaque fonctionnalité de sécurité, et identifier où les utilisateurs doivent être davantage incités à adopter ces fonctionnalités.

Capture d’écran de la section d’en-tête de la vue « Couverture de sécurité » sous l’onglet « Sécurité » d’une organisation.

Remarque

Les « alertes de demande de tirage » sont signalées comme activées uniquement lorsque code scanning a analysé au moins une demande de tirage depuis l’activation des alertes pour le dépôt.

Affichage de l’activation des fonctionnalités de sécurité pour une organisation

Vous pouvez afficher les données permettant d’évaluer l’activation des fonctionnalités de codage sécurisé dans l’ensemble des dépôts d’une organisation.

  1. Sur GitHub, accédez à la page principale de l’organisation.

  2. Sous le nom de votre organisation, cliquez sur Securité.

    Capture d’écran de la barre de navigation horizontale d’une organisation. Un onglet, avec une icône de bouclier et le texte « Sécurité », est mis en évidence avec un encadré orange foncé.

  3. Pour afficher la vue « Couverture de la sécurité », dans la barre latérale, cliquez sur Couverture.

Affichage de l’activation des fonctionnalités de codage sécurisé dans une entreprise

Vous pouvez afficher les données permettant d’évaluer l’activation des fonctionnalités de sécurité dans l’ensemble des organisations d’une entreprise.

  1. Accédez à GitHub Enterprise Cloud.

  2. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil.

  3. Selon votre environnement, cliquez sur Entreprise, ou sur Entreprises , puis sur l’entreprise que vous souhaitez afficher. 1. En haut de la page, cliquez sur Securité.

  4. Pour afficher la vue « Couverture de la sécurité », dans la barre latérale, cliquez sur Couverture.

    Conseil

    Vous pouvez utiliser le filtre owner dans le champ de recherche pour filtrer les données par organisation. Pour plus d’informations, consultez Filtrage des alertes dans la vue d’ensemble de la sécurité.

Vous pouvez afficher les données permettant d’évaluer l’état d’activation des fonctionnalités de sécurité pour une organisation, ainsi que l’évolution de cet état.

  1. Sur GitHub, accédez à la page principale de l’organisation.

  2. Sous le nom de votre organisation, cliquez sur Securité.

    Capture d’écran de la barre de navigation horizontale d’une organisation. Un onglet, avec une icône de bouclier et le texte « Sécurité », est mis en évidence avec un encadré orange foncé.

  3. Dans la barre latérale, sous « Mesures », cliquez sur Tendances d’activation.

  4. Cliquez sur l’un des onglets pour « Dependabot », « Code scanning » ou « Secret scanning » afin d’afficher les tendances d’activation et le pourcentage de dépôts avec cette fonctionnalité activée dans votre organisation. Ces données sont affichées sous la forme d’un graphique et d’un tableau détaillé.

  5. Vous pouvez également utiliser les options en haut de la page « Tendances d’activation » afin de filtrer le groupe de dépôts pour lequel vous souhaitez voir les tendances d’activation.

    • Utilisez le sélecteur de date pour définir l’intervalle de temps pour lequel vous souhaitez afficher les tendances d’activation.

    • Cliquez dans la zone de recherche pour ajouter des filtres supplémentaires aux tendances d’activation affichées. Les filtres que vous pouvez appliquer sont les mêmes que ceux de la vue de tableau de bord « Vue d’ensemble ». Pour plus d’informations, consultez « Filtrage des alertes dans la vue d’ensemble de la sécurité ».

      Capture d’écran de la vue « Tendances d’activation » pour une organisation, montrant l’état et les tendances de Dependabot sur 30 jours, avec un filtre appliqué.

Vous pouvez afficher les données permettant d’évaluer l’état d’activation des fonctionnalités de sécurité dans l’ensemble des organisations d’une entreprise, ainsi que l’évolution de cet état au fil du temps.

  1. Accédez à GitHub Enterprise Cloud.
  2. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil.
  3. Selon votre environnement, cliquez sur Entreprise, ou sur Entreprises , puis sur l’entreprise que vous souhaitez afficher. 1. En haut de la page, cliquez sur Securité.
  4. Pour afficher la vue « Tendances d’activation », dans la barre latérale, cliquez sur Tendances d’activation.
  5. Cliquez sur l’un des onglets pour « Dependabot », « Code scanning » ou « Secret scanning » afin d’afficher les tendances d’activation et le pourcentage de dépôts avec cette fonctionnalité activée dans l’ensemble des organisations de votre entreprise. Ces données sont affichées sous la forme d’un graphique et d’un tableau détaillé.
  6. Vous pouvez également utiliser les options en haut de la page « Tendances d’activation » afin de filtrer le groupe de dépôts pour lequel vous souhaitez voir les tendances d’activation.
    • Utilisez le sélecteur de date pour définir l’intervalle de temps pour lequel vous souhaitez afficher les tendances d’activation.
    • Cliquez dans la zone de recherche pour ajouter des filtres supplémentaires aux tendances d’activation affichées. Pour plus d’informations, consultez « Filtrage des alertes dans la vue d’ensemble de la sécurité ».

Conseil

Vous pouvez utiliser le filtre owner: dans le champ de recherche pour filtrer les données par organisation. Pour plus d’informations, consultez « Filtrage des alertes dans la vue d’ensemble de la sécurité ».

Agir sur les données d’activation

Une fois que vous avez examiné la couverture des activations, envisagez les actions suivantes.

  1. Vérifiez si votre entreprise a configuré des stratégies trop restrictives qui limitent l’utilisation des fonctionnalités de sécurité. Consultez « Application de stratégies de sécurité et d’analyse du code pour votre entreprise ».

  2. Activez les fonctionnalités qui doivent être activées sur tous les référentiels. Pour plus d’informations sur l’activation des fonctionnalités pour une organisation entière, consultez Configuration des fonctionnalités de sécurité dans votre organisation.

    Par exemple, Alertes de détection de secrets et la protection push réduisent le risque de fuite de sécurité, quelles que soient les informations stockées dans le dépôt. Si vous constatez que des référentiels n'utilisent pas encore ces fonctionnalités, vous devez les activer ou discuter d’un plan d'activation avec l'équipe propriétaire du référentiel.

  3. Pour d’autres fonctionnalités, déterminez si la fonctionnalité doit être activée dans d’autres référentiels. Par exemple, il ne servirait à rien d’activer Dependabot pour les dépôts qui n’utilisent que des écosystèmes ou des langages non pris en charge. Il est donc normal que ces fonctionnalités ne soient pas activées pour certains référentiels.

Étapes suivantes

Vous pouvez télécharger un fichier CSV des données affichées sur la page « Couverture de sécurité ». Ce fichier de données peut être utilisé pour des activités comme la recherche en matière de sécurité et l’analyse approfondie des données, et peut s’intégrer facilement à des jeux de données externes. Consultez « Exportation de données de la vue d’ensemble de la sécurité ».

Vous pouvez utiliser la vue « Tendances d’activation » pour afficher l’état de l’activation et les tendances d’état d’activation au fil du temps pour Dependabot, code scanning, ou secret scanning dans les référentiels ou les organisations. Consultez Affichage des tendances d’activation pour une organisation ou Affichage des tendances d’activation pour une entreprise.