Configuration des paramètres de sécurité globaux pour votre organisation

Personnalisez Advanced Security fonctionnalités pour votre organisation en définissant des paramètres globaux qui garantissent des normes de sécurité cohérentes et protègent tous vos référentiels.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de l’organisation, gestionnaires de sécurité et membres de l’organisation avec le rôle d’administrateur

Dans cet article

Accès à la page global settings pour votre organisation

  1. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil, puis sur Vos organisations.

  2. Sous le nom de votre organisation, cliquez sur Settings. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran des onglets dans le profil d’une organisation. L’onglet « Paramètres » est présenté en orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, sélectionnez le menu déroulant Advanced Security, puis cliquez sur Global settings.

Configuration des paramètres globaux de Dependabot

Vous pouvez personnaliser plusieurs global settings pour Dependabot :

  •         [Création et gestion des Règles de triage automatique de Dependabot](#creating-and-managing-dependabot-auto-triage-rules)

  •         [Regroupement des mises à jour de sécurité Dependabot](#grouping-dependabot-security-updates)

  •         [Activation des mises à jour des dépendances sur les exécuteurs GitHub Actions](#enabling-dependency-updates-on-github-actions-runners)

  •         [Configuration du type d’exécuteur pour Dependabot](#configuring-the-runner-type-for-dependabot)

  •         [Octroi à Dependabot d’un accès aux dépôts privés](#granting-dependabot-access-to-private-repositories)

Création et gestion des Règles de triage automatique de Dependabot

Vous pouvez créer et gérer des Règles de triage automatique de Dependabot pour indiquer à Dependabot de rejeter ou suspendre automatiquement les Dependabot alerts, et même d’ouvrir des demandes de tirage pour tenter de les résoudre. Pour configurer les Règles de triage automatique de Dependabot, cliquez sur , puis créez ou modifiez une règle :

  • Vous pouvez créer une règle en cliquant sur Nouvelle règle, puis en saisissant les détails de votre règle et en cliquant sur Créer une règle.
  • Vous pouvez modifier une règle existante en cliquant sur , puis en effectuant les modifications souhaitées et en cliquant sur Enregistrer la règle.

Pour plus d’informations sur les Règles de triage automatique de Dependabot, consultez À propos des règles de triage automatique de Dependabot et Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité.

Regroupement des Dependabot security updates

Dependabot peut regrouper toutes les mises à jour de sécurité suggérées automatiquement au sein d’une seule demande de tirage. Pour activer les mises à jour de sécurité groupées, sélectionnez Mises à jour de sécurité groupées. Pour plus d’informations sur les mises à jour groupées et les options de personnalisation, consultez Configuration des mises à jour de sécurité Dependabot.

Activation des mises à jour des dépendances sur les exécuteurs GitHub Actions

Si Dependabot et GitHub Actions sont activés pour les dépôts existants de votre organisation, GitHub utilisera automatiquement des exécuteurs hébergés par GitHub pour exécuter les mises à jour des dépendances pour ces dépôts.

Sinon, pour permettre à Dependabot d’utiliser les exécuteurs GitHub Actions afin d’effectuer les mises à jour des dépendances pour tous les dépôts de l’organisation, sélectionnez « Dependabot sur les exécutions Actions ».

Pour plus d’informations, consultez « À propos de Dependabot sur les exécuteurs GitHub Actions ».

Configuration du type d’exécuteur pour Dependabot

Vous pouvez configurer le type d’exécuteur Dependabot utilisé pour rechercher les mises à jour de version et de sécurité. Par défaut, Dependabot utilise les exécuteurs standard hébergés par GitHub. Vous pouvez configurer Dependabot pour utiliser des exécuteurs auto-hébergés avec des étiquettes personnalisées, ce qui vous permet d’exploiter l’infrastructure d’exécuteur existante, telle que Actions Runner Controller (ARC).

Remarque

  • Pour des raisons de sécurité, Dependabot utilise des exécuteurs hébergés par GitHub pour les dépôts publics, même lorsque vous configurez des exécuteurs étiquetés.
  • Les exécuteurs étiquetés ne fonctionnent pas pour les dépôts publics.

Pour configurer le type d'agent d'exécution :

  1. Sous « Dependabot », en regard de « Type d’exécuteur », sélectionnez .
  2. Dans la boîte de dialogue « Modifier le type d’exécuteur pour Dependabot », sélectionnez le type d’exécuteur que vous souhaitez Dependabot à utiliser : * Exécuteur GitHub standard. * Exécuteur étiqueté : si vous sélectionnez cette option, Dependabot utilisera des exécuteurs auto-hébergés qui correspondent à l’étiquette spécifiée.
  3. Si vous avez sélectionné l’exécuteur étiqueté :
    • Dans « Étiquette de l’exécuteur », entrez l’étiquette affectée à vos exécuteurs auto-hébergés. Dependabot utilisera les exécuteurs portant cette étiquette. Par défaut, l’étiquette dependabot est utilisée, mais vous pouvez spécifier une étiquette personnalisée pour correspondre à votre infrastructure d’exécuteur existante.
    • Si vous le souhaitez, dans « Nom du groupe Runner », entrez le nom d’un groupe d’exécuteurs si vous souhaitez cibler un groupe spécifique d’exécuteurs.
  4. Cliquez sur Enregistrer la sélection du runner.

Octroi à Dependabot d’un accès aux dépôts privés

Pour mettre à jour les dépendances privées des dépôts de votre organisation, Dependabot a besoin d’accéder à ces dépôts. Pour accorder à Dependabot l’accès au dépôt privé souhaité, faites défiler vers le bas jusqu’à la section « Accorder à Dependabot l’accès aux dépôts privés », puis utilisez la barre de recherche pour rechercher et sélectionner le dépôt souhaité. N’oubliez pas que le fait d’accorder à Dependabot l’accès à un dépôt signifie que tous les utilisateurs de votre organisation auront accès au contenu de ce dépôt par le biais des Dependabot updates. Pour plus d’informations sur les écosystèmes pris en charge pour les dépôts privés, consultez Écosystèmes et référentiels pris en charge par Dependabot.

Configuration des paramètres globaux de code scanning

Code scanning es une fonctionnalité que vous utilisez pour analyser le code dans un dépôt GitHub afin de détecter d’éventuelles vulnérabilités de sécurité et erreurs de codage. Tous les problèmes identifiés par l’analyse sont énumérés dans votre référentiel.

Vous pouvez personnaliser plusieurs global settings pour code scanning :

Recommandation de la suite de requêtes étendue pour la configuration par défaut

Code scanning propose des groupes spécifiques de requêtes CodeQL, appelés suites de requêtes CodeQL, à exécuter sur votre code. Par défaut, la suite de requêtes « Default » est exécutée. GitHub propose également la suite de requêtes « Extended », qui contient toutes les requêtes de la suite « Default », ainsi que des requêtes supplémentaires avec une précision et une gravité moindres. Pour recommander la suite de requêtes « Extended » dans l’ensemble de votre organisation, sélectionnez Recommander la suite de requêtes étendue pour les dépôts utilisant la configuration par défaut. Pour plus d’informations sur les suites de requêtes intégrées pour la configuration par défaut de CodeQL, consultez Suites de requêtes CodeQL.

Activation de Copilot correction automatique for CodeQL

Vous pouvez sélectionner Copilot correction automatique pour activer Copilot correction automatique pour tous les dépôts de votre organisation qui utilisent la configuration par défaut de CodeQL ou la configuration avancée de CodeQL. Copilot correction automatique est une extension de code scanning qui propose des correctifs pour les alertes code scanning. Pour plus d’informations, consultez « Utilisation responsable de Copilot Autofix pour l’analyse du code ».

Extension de l'analyse de CodeQL

Vous pouvez étendre la couverture d'analyse de CodeQL pour tous les dépôts de votre organisation utilisant la configuration par défaut, en configurant les packs de modèles CodeQL. Les packs de modèles étendent l’analyse CodeQL pour reconnaître des infrastructures et bibliothèques supplémentaires qui ne sont pas incluses dans les bibliothèques standard CodeQL. Cette configuration globale s’applique aux référentiels à l’aide de la configuration par défaut et vous permet de spécifier des packs de modèles publiés via le registre de conteneurs. Pour plus d’informations, consultez « Modification de la configuration d’installation par défaut ».

Configuration des paramètres globaux de secret scanning

Secret scanning est un outil de sécurité qui analyse l’intégralité de l’historique Git des dépôts, ainsi que les problèmes dans ces dépôts, pour détecter les secrets divulgués qui ont été accidentellement validés, tels que des jetons ou des clés privées.

Vous pouvez personnaliser plusieurs global settings pour secret scanning :

  •         [Ajout d’un lien de ressource pour les commits bloqués](#adding-a-resource-link-for-blocked-commits)

  •         [Définition de modèles personnalisés](#defining-custom-patterns)

  •         [Spécification des modèles à inclure dans la protection push](#specifying-patterns-to-include-in-push-protection)

Pour fournir un contexte aux développeurs lorsque secret scanning bloque un commit, vous pouvez afficher un lien fournissant des informations supplémentaires sur la raison du blocage. Pour inclure un lien, sélectionnez Ajouter un lien de ressource dans l’interface CLI et l’IU web lorsqu’un commit est bloqué. Dans la zone de texte, saisissez le lien vers la ressource souhaitée, puis cliquez sur Enregistrer le lien.

Définition de modèles personnalisés

Vous pouvez définir des modèles personnalisés pour secret scanning avec des expressions régulières. Les modèles personnalisés permettent d’identifier les secrets qui ne sont pas détectés par les modèles par défaut pris en charge par secret scanning. Pour créer un modèle personnalisé, cliquez sur Nouveau modèle, puis entrez les détails de votre modèle et cliquez sur Enregistrer et effectuer un test à blanc. Pour plus d’informations sur les modèles personnalisés, consultez Définition de modèles personnalisés pour l’analyse des secrets.

Spécification des modèles à inclure dans la protection push

Vous pouvez personnaliser les modèles de secrets inclus dans la protection push, afin de permettre aux équipes de sécurité de mieux contrôler les types de secrets bloqués dans les dépôts de votre organisation.

  1. Sous « Paramètres supplémentaires », dans la section « Secret scanning » et à droite de « Configurations de modèles », cliquez sur .
  2. Dans la page qui s’affiche, apportez les modifications souhaitées dans la colonne « Paramètre de l’organisation ».

Vous pouvez activer ou désactiver la protection push pour des modèles individuels à l’aide du bouton bascule dans la colonne appropriée : « Paramètre d’entreprise » au niveau de l’entreprise et « Paramètre d’organisation » au niveau de l’organisation.

Les données sont limitées à l’étendue, par conséquent, le volume d’alerte, les faux positifs, le taux de contournement ou la disponibilité des modèles personnalisés reflètent l’activité utilisateur/alerte au sein de l' entreprise ou de l'organisation.

La valeur par défaut de GitHub peut changer au fil du temps, car nous augmentons la précision et promouvons les modèles.

Remarque

Les administrateurs de l’organisation et les équipes de sécurité peuvent remplacer les paramètres configurés au niveau de l’entreprise.

Pour plus d’informations sur la façon de lire les données sur la page de configuration de motif secret scanning, consultez Données de configuration du modèle d’analyse des secrets.

Création des gestionnaires de sécurité pour votre organisation

Le rôle gestionnaire de sécurité accorde aux membres de votre organisation la possibilité de gérer les paramètres de sécurité et les alertes au sein de votre organisation. Les gestionnaires de sécurité peuvent afficher les données de tous les dépôts de votre organisation par le biais d’une vue d’ensemble de la sécurité.

Pour en savoir plus sur le rôle de gestionnaire de sécurité, consultez Gestion des gestionnaires de sécurité dans votre organisation.

Pour attribuer le rôle de gestionnaire de sécurité, consultez Utilisation des rôles d'organisation.