À propos de la vue d’ensemble de la sécurité

Vous pouvez obtenir des insights sur le paysage de sécurité global de votre organisation ou de votre entreprise et identifier les dépôts qui nécessitent une intervention à l’aide de la vue d’ensemble de la sécurité.

Qui peut utiliser cette fonctionnalité ?

Security overview is available for all organizations owned by GitHub Team or GitHub Enterprise that have run Secret risk assessment.

Additional views are available for

  • Organizations owned by a GitHub Team account with GitHub Secret Protection or GitHub Code Security
  • Organizations owned by a GitHub Enterprise account

Find out how to run a free secret risk assessment

Dans cet article

La vue d’ensemble de la sécurité fournit des insights sur la sécurité du code stocké dans les dépôts de votre organisation.

  •         **Toutes les organisations** utilisant GitHub Team peuvent utiliser gratuitement **secret risk assessment** pour évaluer l’exposition de leur organisation aux fuites de secrets. Consultez [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/viewing-the-secret-risk-assessment-report-for-your-organization).
  • Les comptes GitHub Team qui achètent GitHub Secret Protection or GitHub Code Security ont accès à des vues offrant des informations supplémentaires.

Les informations ci-dessous décrivent les vues disponibles pour les organisations disposant de GitHub Secret Protection or GitHub Code Security, que vous pouvez utiliser pour identifier les tendances en matière de détection, de correction et de prévention des alertes de sécurité, ainsi que pour examiner en profondeur l’état actuel de vos dépôts.

À propos des vues

Remarque

Toutes les vues affichent des informations et des métriques pour les branches par défaut des dépôts que vous êtes autorisé à consulter dans une organisation ou une entreprise.

Les vues sont interactives avec des filtres qui vous permettent d’examiner en détail les données agrégées, d’identifier les sources de risque élevé, d’observer les tendances en matière de sécurité et de mesurer l’impact de l’analyse des demandes de tirage sur le blocage des vulnérabilités de sécurité susceptibles d’entrer dans votre code. Lorsque vous appliquez plusieurs filtres pour vous concentrer sur des zones d’intérêt plus étroites, toutes les données et métriques de la vue changent pour refléter votre sélection actuelle. Pour plus d’informations, consultez « Filtrage des alertes dans la vue d’ensemble de la sécurité ».

Depuis la vue d’ensemble de la sécurité, vous pouvez télécharger des fichiers de valeurs séparées par des virgules (CSV) contenant les données de plusieurs pages de la vue d’ensemble de la sécurité de votre organisation ou de votre entreprise. Ces fichiers peuvent être utilisés pour des activigés comme la recherche en matière de sécurité et l'analyse approfondie des données, et s'intègrent facilement à des jeux de données externes. Pour plus d’informations, consultez Exportation de données de la vue d’ensemble de la sécurité.

Il existe des vues dédiées pour chaque type d’alerte de sécurité. Vous pouvez limiter votre analyse à un type spécifique d’alerte, puis affiner davantage les résultats avec un ensemble de filtres propres à chaque vue. Par exemple, dans la vue des alertes secret scanning, vous pouvez utiliser le filtre « Type de secret » pour voir uniquement les alertes Alertes de détection de secrets pour un secret spécifique, comme un GitHub personal access token.

Remarque

La vue d’ensemble de la sécurité affiche les alertes actives déclenchées par les fonctionnalités de sécurité. Si aucune alerte n'apparaît dans la vue d'ensemble de la sécurité pour un référentiel, il subsiste peut-être des failles de sécurité ou des erreurs de code non détectées ou la fonctionnalité n’est pas activée pour ce référentiel.

À propos de la vue d’ensemble de la sécurité des organisations

L’équipe en charge de la sécurité des applications au sein de votre entreprise peut utiliser différentes vues pour effectuer des analyses générales et spécifiques de l’état de la sécurité de votre organisation. Par exemple, l’équipe peut utiliser la vue de tableau de bord « Vue d’ensemble » pour suivre le paysage de sécurité de votre organisation ainsi que son évolution.

Vous trouverez la vue d’ensemble de la sécurité dans l’onglet Sécurité de n’importe quelle organisation. Chaque vue présente un résumé des données auxquelles vous avez accès. À mesure que vous ajoutez des filtres, toutes les données et métriques de la vue changent pour refléter les référentiels ou les alertes que vous avez sélectionnés.

La vue d'ensemble de la sécurité comporte plusieurs vues qui permettent d'explorer les données d'activation et d'alerte de différentes manières.

  •         **Vue d’ensemble :** visualiser les tendances dans **la détection**, la **correction** et **la prévention** des alertes de sécurité. Pour plus d’informations sur l’accès et l’utilisation du tableau de bord, consultez [AUTOTITLE](/code-security/security-overview/viewing-security-insights). Pour obtenir des explications détaillées sur les métriques et les calculs, consultez [AUTOTITLE](/code-security/reference/security-at-scale/security-overview-dashboard-metrics).

  •         **Vues des risques et des alertes :** explorez les risques liés aux alertes de sécurité de tous les types ou concentrez-vous sur un type d’alerte unique afin d’identifier votre exposition à des dépendances vulnérables spécifiques, à des faiblesses de code ou à des fuites de secrets. Consultez [AUTOTITLE](/code-security/security-overview/assessing-code-security-risk).

  •         **Couverture :** évaluez l’adoption des fonctionnalités de sécurité dans les dépôts de l’organisation. Consultez [AUTOTITLE](/code-security/security-overview/assessing-adoption-code-security).

  •         **Évaluations :** quel que soit l’état d’activation des fonctionnalités Advanced Security, les organisations utilisant GitHub Team et GitHub Enterprise peuvent exécuter un rapport gratuit pour analyser le code de l’organisation afin de détecter les fuites de secrets. Consultez [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/about-secret-risk-assessment).

  •         **Campagnes :** coordonnez et mesurez les efforts de correction ciblés, en regroupant les tâches de sécurité associées sur différents dépôts, en attribuant des responsables et en suivant les progrès réalisés par rapport aux objectifs définis en matière de réduction des risques.

  •         **Tendances d’activation :** découvrez la rapidité avec laquelle les différentes équipes adoptent les fonctionnalités de sécurité.

  •         **Alertes CodeQL sur les demandes de tirage :** évaluez l’impact de l’exécution de CodeQL sur les demandes de tirage et la manière dont les équipes de développement résolvent les alertes d’analyse de code. Consultez [AUTOTITLE](/code-security/security-overview/viewing-metrics-for-pull-request-alerts). **Tableau de bord Dependabot**  : classez par ordre de priorité et suivez les vulnérabilités critiques en identifiant, corrigeant et mesurant les améliorations de sécurité dans l’ensemble des dépôts.

  •         **Insights Secret scanning :** découvrez quels types de secrets sont bloqués par la protection d’envoi (push) et quelles équipes contournent cette protection. Consultez [AUTOTITLE](/code-security/security-overview/viewing-metrics-for-secret-scanning-push-protection) et [AUTOTITLE](/code-security/security-overview/reviewing-requests-to-bypass-push-protection).

Vous pouvez également créer et gérer des campagnes de sécurité pour corriger les alertes issues de la vue d’ensemble de la sécurité. Consultez Création et gestion de campagnes de sécurité et Exécution d’une campagne de sécurité pour corriger les alertes à grande échelle.

À propos de la vue d’ensemble de la sécurité pour les entreprises

Vous trouverez la vue d’ensemble de la sécurité dans l’onglet Sécurité pour votre entreprise. Chaque page affiche des informations de sécurité agrégées et propres au référentiel pour votre entreprise.

La vue d’ensemble de la sécurité pour les entreprises a plusieurs vues qui fournissent différentes façons d’explorer les données, y compris un tableau de bord de vue d’ensemble qui visualise les tendances des alertes. Pour plus d’informations sur le tableau de bord, consultez Affichage des aperçus de sécurité et Métriques du tableau de bord d'ensemble de la sécurité.

Vue d’ensemble de l’accès aux données dans la sécurité

Ce que vous pouvez voir dans la vue d’ensemble de la sécurité dépend de votre rôle et des autorisations dans l’organisation ou l’entreprise.

En général :

  •         **Les propriétaires de l’organisation et les gestionnaires de sécurité** peuvent afficher les données de sécurité dans tous les référentiels de leur organisation.

  •         **Les membres de l’organisation** ne peuvent afficher les données que pour les référentiels où ils ont accès aux alertes de sécurité.

  •         **Les propriétaires d’entreprise** peuvent afficher les données de sécurité agrégées dans la vue d’ensemble de la sécurité au niveau de l’entreprise pour les organisations où elles sont propriétaires de l’organisation ou gestionnaire de sécurité. Pour afficher les détails au niveau du référentiel, ils doivent avoir le rôle approprié au sein de l’organisation.

La vue d’ensemble de la sécurité affiche les données uniquement pour les référentiels que vous avez l’autorisation d’afficher, et certaines vues ou actions peuvent être limitées en fonction de votre rôle.

Pour obtenir des informations détaillées sur les autorisations de rôle par rôle, notamment les vues disponibles et la façon dont l’accès au référentiel affecte la visibilité, consultez Autorisations de vue d’ensemble de la sécurité.

Présentation de la précision des données du tableau de bord

Le tableau de bord vue d’ensemble affiche les métriques en fonction de l’état actuel de vos référentiels et de l’état historique des alertes de sécurité. Ce modèle de données a des implications importantes pour la cohérence des données :

          **Changements de données au fil du temps :** Les métriques de tableau de bord peuvent changer pour la même période historique lorsqu’elles sont consultées à différents moments. Cela se produit lorsque les référentiels sont supprimés, que les avis de sécurité sont modifiés ou que d’autres modifications affectent les données sous-jacentes. Si vous avez besoin de données cohérentes à des fins de conformité ou d’audit, utilisez plutôt le journal d’audit. Consultez « [AUTOTITLE](/code-security/getting-started/auditing-security-alerts) ».

          **Les données d’alerte sont historiques ; les attributs du référentiel sont actuels :** Le tableau de bord effectue le suivi des alertes de sécurité en fonction de leur état historique pendant la période sélectionnée. Toutefois, les filtres de référentiel (tels que l’état archivé/actif) reflètent _l’état actuel_ des référentiels.

Par exemple, si vous archivez un référentiel aujourd’hui, toutes les alertes ouvertes dans ce référentiel sont automatiquement fermées. Si vous affichez ensuite le tableau de bord vue d’ensemble pour la semaine dernière :

  • Le référentiel apparaît uniquement lorsque vous filtrez pour afficher les référentiels archivés (son état actuel)
  • Les alertes de ce référentiel s’affichent comme ouvertes (leur état au cours de la semaine dernière)

Cette conception garantit que les tendances des alertes reflètent avec précision l’activité de sécurité pendant la période pendant laquelle vous analysez, tandis que les filtres de référentiel vous aident à vous concentrer sur votre structure de référentiel actuelle.

Lectures complémentaires

  •         [AUTOTITLE](/code-security/getting-started/securing-your-repository)

  •         [AUTOTITLE](/code-security/securing-your-organization)

  •         [AUTOTITLE](/code-security/adopting-github-advanced-security-at-scale/introduction-to-adopting-github-advanced-security-at-scale)