Configuration des paramètres de sécurité globaux pour votre organisation

Personnalisez les Advanced Security fonctionnalités de votre organisation en définissant des paramètres globaux qui garantissent des normes de sécurité cohérentes et protègent tous vos dépôts.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de l’organisation, gestionnaires de sécurité et membres de l’organisation avec le rôle d’administrateur

Dans cet article

Accès à la global settings page de votre organisation

  1. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil, puis sur Vos organisations.

  2. Sous le nom de votre organisation, cliquez sur Settings. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran des onglets dans le profil d’une organisation. L’onglet « Paramètres » est présenté en orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, sélectionnez le Advanced Security menu déroulant, puis cliquez sur Global settings.

Configuration des paramètres globaux Dependabot

Vous pouvez personnaliser plusieurs global settings pour Dependabot:

Création et gestion Règles de triage automatique de Dependabot

Vous pouvez créer et gérer Règles de triage automatique de Dependabot pour que Dependabot ignore ou répète Dependabot alerts automatiquement, et même tenter de les résoudre en ouvrant des demandes de tirage. Pour configurer Règles de triage automatique de Dependabot, cliquez , puis créez ou modifiez une règle :

  • Vous pouvez créer une règle en cliquant sur Nouvelle règle, puis en saisissant les détails de votre règle et en cliquant sur Créer une règle.
  • Vous pouvez modifier une règle existante en cliquant sur , puis en effectuant les modifications souhaitées et en cliquant sur Enregistrer la règle.

Pour plus d’informations sur Règles de triage automatique de Dependabot, consultez À propos des règles de triage automatique de Dependabot et Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité.

Regroupement Dependabot security updates

          Dependabot peut regrouper toutes les mises à jour de sécurité suggérées automatiquement dans une pull request unique. Pour activer les mises à jour de sécurité groupées, sélectionnez **Mises à jour de sécurité groupées**. Pour plus d’informations sur les mises à jour groupées et les options de personnalisation, consultez [AUTOTITLE](/code-security/how-tos/secure-your-supply-chain/secure-your-dependencies/configuring-dependabot-security-updates#grouping-dependabot-security-updates-into-a-single-pull-request).

Activation des mises à jour des dépendances sur GitHub Actions les exécuteurs

Si Dependabot et GitHub Actions sont activés pour les dépôts existants de votre organisation, GitHub utilisera automatiquement les agents hébergés par GitHub pour exécuter les mises à jour des dépendances pour ces référentiels.

Sinon, pour autoriser Dependabot l’utilisation GitHub Actions d’exécuteurs pour effectuer des mises à jour de dépendances pour tous les référentiels existants de l’organisation, sélectionnez «Dependabot sur les exécuteurs d’actions ».

Pour plus d’informations, consultez « À propos de Dependabot sur les exécuteurs GitHub Actions ».

Configuration du type d’exécuteur pour Dependabot

Vous pouvez configurer le type d’exécuteur Dependabot utilisé pour analyser les mises à jour de version et de sécurité. Par défaut, Dependabot utilise des exécuteurs standardGitHub hébergés. Vous pouvez configurer Dependabot pour utiliser des exécuteurs auto-hébergés avec des étiquettes personnalisées , ce qui vous permet d’intégrer l’infrastructure d’exécuteur existante telle que Actions Runner Controller (ARC).

Remarque

  • Pour des raisons de sécurité, Dependabot utilise des runners hébergés par GitHub pour les référentiels publics, même lorsque vous configurez des runners étiquetés.
  • Les exécuteurs étiquetés ne fonctionnent pas pour les dépôts publics.

Pour configurer le type d'agent d'exécution :

  1. Sous « Dependabot », en regard de « Type d’exécuteur », sélectionnez .
  2. Dans la boîte de dialogue « Modifier le type d’exécuteur pour Dependabot», sélectionnez le type d’exécuteur que vous souhaitez Dependabot utiliser :
    • Exécuteur standardGitHub.
    • Exécuteur étiqueté : si vous sélectionnez cette option, Dependabot il utilisera des exécuteurs auto-hébergés qui correspondent à l’étiquette que vous spécifiez.
  3. Si vous avez sélectionné l’exécuteur étiqueté :
    • Dans « Étiquette de l’exécuteur », entrez l’étiquette affectée à vos exécuteurs auto-hébergés. Dependabot utilisera les agents avec cette étiquette. Par défaut, l’étiquette dependabot est utilisée, mais vous pouvez spécifier une étiquette personnalisée pour correspondre à votre infrastructure d’exécuteur existante.
    • Si vous le souhaitez, dans « Nom du groupe Runner », entrez le nom d’un groupe d’exécuteurs si vous souhaitez cibler un groupe spécifique d’exécuteurs.
  4. Cliquez sur Enregistrer la sélection du runner.

Pour plus d’information sur la configuration des exécuteurs auto-hébergés pour Dependabot, consultez Configuration de Dependabot sur des exécuteurs auto-hébergés.

Octroi de Dependabot l’accès aux référentiels privés

Pour mettre à jour les dépendances privées des référentiels de votre organisation, Dependabot vous devez accéder à ces référentiels. Pour accorder Dependabot l’accès au référentiel privé souhaité, faites défiler jusqu’à la section « Accorder Dependabot l’accès aux référentiels privés », puis utilisez la barre de recherche pour rechercher et sélectionner le référentiel souhaité. N’oubliez pas que l’octroi Dependabot de l’accès à un référentiel signifie que tous les utilisateurs de votre organisation auront accès au contenu de ce référentiel via Dependabot updates. Pour plus d’informations sur les écosystèmes pris en charge pour les dépôts privés, consultez Écosystèmes et référentiels pris en charge par Dependabot.

Configuration des paramètres globaux code scanning

Code scanning es une fonctionnalité que vous utilisez pour analyser le code dans un dépôt GitHub afin de détecter d’éventuelles vulnérabilités de sécurité et erreurs de codage. Tous les problèmes identifiés par l’analyse sont énumérés dans votre référentiel.

Vous pouvez personnaliser plusieurs global settings pour code scanning:

          * [Activation Copilot correction automatique pour CodeQL](#enabling-copilot-autofix-for-codeql)

Recommandation de la suite de requêtes étendue pour la configuration par défaut

          Code scanningpropose des groupes spécifiques de requêtes, appelés CodeQL suites de CodeQL requêtes, à exécuter sur votre code. Par défaut, la suite de requêtes « Default » est exécutée. 
          GitHub offre également la suite de requêtes « Étendue », qui contient toutes les requêtes de la suite de requêtes « Par défaut », ainsi que des requêtes supplémentaires avec une précision et une gravité inférieures. Pour recommander la suite de requêtes « Extended » dans l’ensemble de votre organisation, sélectionnez **Recommander la suite de requêtes étendue pour les dépôts utilisant la configuration par défaut**. Pour plus d’informations sur les suites de requêtes intégrées pour la CodeQL configuration par défaut, consultez [AUTOTITLE](/code-security/concepts/code-scanning/codeql/codeql-query-suites).

Activation Copilot correction automatique pour CodeQL

Vous pouvez sélectionner Copilot correction automatique l’activation Copilot correction automatique pour tous les référentiels de votre organisation qui utilisent CodeQL la configuration par défaut ou CodeQL la configuration avancée. Copilot correction automatique est une extension de code scanning qui suggère des correctifs pour les alertes code scanning. Pour plus d’informations, consultez « Utilisation responsable de l’Autofix Copilot pour l'analyse de code ».

Développement de l’analyse CodeQL

Vous pouvez étendre la couverture d’analyse CodeQL pour tous les référentiels de votre organisation qui utilisent la configuration par défaut en configurant CodeQL des ensembles de modèles. Les packs de modèles étendent l’analyse CodeQL pour reconnaître des infrastructures et des bibliothèques supplémentaires qui ne sont pas incluses dans les bibliothèques standard CodeQL . Cette configuration globale s’applique aux référentiels à l’aide de la configuration par défaut et vous permet de spécifier des packs de modèles publiés via le registre de conteneurs. Pour plus d’informations, consultez « Modification de la configuration d’installation par défaut ».

Configuration des paramètres globaux secret scanning

Secret scanning est un outil de sécurité qui analyse l’intégralité de l’historique Git des dépôts, ainsi que les problèmes dans ces dépôts, pour détecter les secrets divulgués qui ont été accidentellement validés, tels que des jetons ou des clés privées.

Vous pouvez personnaliser plusieurs global settings pour secret scanning:

Pour fournir un contexte aux développeurs quand ils secret scanning bloquent une validation, vous pouvez afficher un lien avec plus d’informations sur la raison pour laquelle la validation a été bloquée. Pour inclure un lien, sélectionnez Ajouter un lien de ressource dans l’interface CLI et l’IU web lorsqu’un commit est bloqué. Dans la zone de texte, tapez le lien vers la ressource souhaitée, puis cliquez sur Enregistrer le lien.

Définition de modèles personnalisés

Vous pouvez définir des modèles personnalisés pour secret scanning avec des expressions régulières. Les modèles personnalisés peuvent identifier les secrets qui ne sont pas détectés par les modèles par défaut pris en charge par secret scanning. Pour créer un modèle personnalisé, cliquez sur Nouveau modèle, puis entrez les détails de votre modèle et cliquez sur Enregistrer et effectuer un test à blanc. Pour plus d’informations sur les modèles personnalisés, consultez Définition de modèles personnalisés pour l’analyse des secrets.

Spécification des modèles à inclure dans la protection push

Remarque

La configuration des modèles pour la protection push au niveau de l’entreprise et de l’organisation est actuellement dans préversion publique et peut être modifiée.

Vous pouvez personnaliser les modèles de secrets inclus dans la protection push, afin de permettre aux équipes de sécurité de mieux contrôler les types de secrets bloqués dans les dépôts de votre organisation.

  1. Sous « Paramètres supplémentaires », dans la section «Secret scanning » et à droite de « Configurations de modèles », cliquez sur .
  2. Dans la page qui s’affiche, apportez les modifications souhaitées dans la colonne « Paramètre de l’organisation ».

Vous pouvez activer ou désactiver la protection push pour des modèles individuels à l’aide du bouton bascule dans la colonne appropriée : « Paramètre d’entreprise » au niveau de l’entreprise et « Paramètre d’organisation » au niveau de l’organisation.

Les données sont limitées à l’étendue, par conséquent, le volume d’alerte, les faux positifs, le taux de contournement ou la disponibilité des modèles personnalisés reflètent l’activité utilisateur/alerte au sein de l' entreprise ou de l'organisation.

La valeur par défaut de GitHub peut changer au fil du temps, car nous augmentons la précision et promouvons les modèles.

Remarque

Les administrateurs de l’organisation et les équipes de sécurité peuvent remplacer les paramètres configurés au niveau de l’entreprise.

Pour plus d’informations sur la lecture des données sur la page de configuration du secret scanning modèle, consultez Données de configuration du modèle d’analyse des secrets.

Création des gestionnaires de sécurité pour votre organisation

Le rôle gestionnaire de sécurité accorde aux membres de votre organisation la possibilité de gérer les paramètres de sécurité et les alertes au sein de votre organisation. Les gestionnaires de sécurité peuvent afficher les données de tous les dépôts de votre organisation par le biais d’une vue d’ensemble de la sécurité.

Pour en savoir plus sur le rôle de gestionnaire de sécurité, consultez Gestion des gestionnaires de sécurité dans votre organisation.

Pour attribuer le rôle de gestionnaire de sécurité, consultez Utilisation des rôles d'organisation.