Application de stratégies de sécurité et d’analyse du code pour votre entreprise

Vous pouvez appliquer des stratégies pour gérer l’utilisation des fonctionnalités de sécurité et d’analyse du code au sein des organisations de votre entreprise.

Qui peut utiliser cette fonctionnalité ?

Enterprise owners

GitHub Code Security et GitHub Secret Protection sont disponibles pour les comptes sur GitHub Team et les comptes GitHub Enterprise Cloud.

Certaines fonctionnalités sont également disponibles gratuitement pour les dépôts publics sur GitHub.com. Pour plus d’informations, consultez « plans de GitHub ».

Pour plus d’informations sur GitHub Advanced Security for Azure DevOps, consultez Configurer GitHub Advanced Security for Azure DevOps dans Microsoft Learn.

Dans cet article

À propos des stratégies d’utilisation des fonctionnalités de sécurité dans votre entreprise

Vous pouvez appliquer des stratégies pour gérer l’utilisation des fonctionnalités de sécurité au sein des organisations appartenant à votre entreprise. Vous pouvez permettre ou interdire aux personnes disposant d’un accès administrateur à un dépôt d’activer ou de désactiver les fonctionnalités de sécurité et d’analyse.

En outre, vous pouvez appliquer des stratégies concernant l’utilisation de GitHub Secret Protection, GitHub Code Security and GitHub Code Quality (préversion publique), or GitHub Advanced Security dans les organisations et les dépôts de votre entreprise.

Application d’une stratégie concernant la disponibilité de Advanced Security dans les organisations de votre entreprise

La facturation des produits GitHub Secret Protection, GitHub Code Security, and GitHub Advanced Security s’effectue par auteur de commit. Consultez « GitHub Advanced Security facturation des licences ».

Vous pouvez appliquer une stratégie qui contrôle si les administrateurs de référentiels sont autorisés à activer des fonctionnalités dans Advanced Security les référentiels d’une organisation. Vous pouvez configurer une stratégie pour toutes les organisations appartenant à votre compte d’entreprise ou pour les organisations individuelles que vous choisissez.

L’interdiction GitHub Secret Protection, GitHub Code Security and GitHub Code Quality (préversion publique), or GitHub Advanced Security pour une organisation empêche les administrateurs de référentiels d’activer ces fonctionnalités pour des référentiels supplémentaires, mais ne désactive pas les fonctionnalités des référentiels où les fonctionnalités sont déjà activées.

Remarque

Cette politique ne concerne que les administrateurs de référentiels. Les propriétaires d’organisation et les responsables de la sécurité peuvent toujours activer les fonctionnalités de sécurité, quelle que soit la définition de cette stratégie. Pour plus d’informations, consultez « Rôles dans une organisation ».

  1. Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.

  2. En haut de la page, cliquez sur Stratégies.

  3. Sous  » Politiques », cliquez sur Advanced Security Code security.

  4. Sous l’onglet « Stratégies » de la page «Advanced Security », sélectionnez le menu déroulant, puis cliquez sur une stratégie pour les organisations appartenant à votre entreprise.

  5. Si vous choisissez Autoriser pour les organisations sélectionnées, à droite d’une organisation, sélectionnez le menu déroulant pour définir les Advanced Security produits disponibles pour l’organisation.

    Capture d’écran du menu déroulant permettant de choisir une stratégie Advanced Security pour les organisations sélectionnées dans l’entreprise. La liste déroulante est entourée d’un contour.

Remarque

Si GitHub Actions n’est pas disponible pour une organisation, code scanning et GitHub Code Quality ne pourront pas s’exécuter même s’ils sont rendus disponibles par cette stratégie. Consultez « Application de stratégies pour GitHub Actions dans votre entreprise ».

Application d’une stratégie pour la visibilité des insights sur les dépendances

Les insights sur les dépendances montrent tous les projets open source dont dépendent les dépôts au sein des organisations de votre entreprise. Les insights sur les dépendances incluent des informations agrégées sur les avis de sécurité et les licences. Pour plus d’informations, consultez « Affichage des aperçus des dépendances dans votre organisation ».

Dans toutes les organisations appartenant à votre entreprise, vous pouvez contrôler si les membres d’organisation peuvent voir les insights sur les dépendances. Vous pouvez également autoriser les propriétaires à administrer le paramètre au niveau de l’organisation. Pour plus d’informations, consultez « Modification de la visibilité des insights sur les dépendances de votre organisation ».

  1. Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.

  2. En haut de la page, cliquez sur Stratégies.

  3. Sous  » Politiques », cliquez sur Advanced Security Code security.

  4. Dans la section « Stratégies », sous « Insights des dépendances », consultez les informations concernant la modification du paramètre.

  5. En option, pour afficher la configuration actuelle de toutes les organisations du compte d'entreprise avant de modifier le paramètre, cliquez sur Visualiser les configurations actuelles de votre organisation.

    Capture d’écran d’une stratégie dans les paramètres d’entreprise. Un lien intitulé « Afficher les configurations actuelles de vos organisations » est mis en évidence.

  6. Sous « Insights des dépendances », sélectionnez le menu déroulant et cliquez sur une stratégie.

Application d’une stratégie pour gérer l’utilisation de Dependabot alerts dans votre entreprise

Dans toutes les organisations appartenant à votre entreprise, vous pouvez autoriser les membres disposant d’autorisations d’administrateur pour les référentiels à activer ou désactiver et modifier Dependabot alertsDependabot alerts les paramètres.

Remarque

Cette politique ne concerne que les administrateurs de référentiels. Les propriétaires d’organisation et les responsables de la sécurité peuvent toujours activer les fonctionnalités de sécurité, quelle que soit la définition de cette stratégie. Pour plus d’informations, consultez « Rôles dans une organisation ».

  1. Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.
  2. En haut de la page, cliquez sur Stratégies.
  3. Sous  » Politiques », cliquez sur Advanced Security Code security.
  4. Dans la section « Stratégies », sous « Activer ou désactiver Dependabot alerts par les administrateurs du référentiel », utilisez le menu déroulant pour choisir une stratégie.

Application d’une stratégie pour gérer l’utilisation des Advanced Security fonctionnalités dans les référentiels de votre entreprise

Dans toutes les organisations de votre entreprise, vous pouvez autoriser ou interdire aux personnes disposant d’un accès administrateur aux référentiels pour gérer l’utilisation des Advanced Security fonctionnalités dans les référentiels.

  1. Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.
  2. En haut de la page, cliquez sur Stratégies.
  3. Sous  » Politiques », cliquez sur Advanced Security Code security.
  4. Dans la section « Stratégies », sous « Les administrateurs du dépôt peuvent activer ou désactiver PRODUCT », utilisez le menu déroulant pour définir si les administrateurs du dépôt peuvent modifier l’activation de GitHub Secret Protection, GitHub Code Security and GitHub Code Quality (préversion publique), or GitHub Advanced Security.

Mise en œuvre d’une politique pour gérer l’utilisation de la détection par IA pour secret scanning dans les référentiels de votre entreprise

Dans toutes les organisations de votre entreprise, vous pouvez autoriser ou interdire aux personnes disposant d’un accès administrateur aux référentiels pour gérer et configurer la détection d’IA dans secret scanning les référentiels. Cette stratégie prend effet uniquement si les administrateurs de référentiel sont également autorisés à modifier l’activation ( Secret Protection contrôlée par la stratégie « Les administrateurs de référentiel peuvent activer ou désactiver la protection secrète »).

  1. Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.
  2. En haut de la page, cliquez sur Stratégies.
  3. Sous  » Politiques », cliquez sur Advanced Security Code security.
  4. Dans la section « Stratégies », sous « Détection d’IA dans secret scanning», sélectionnez le menu déroulant, puis cliquez sur une stratégie.

Appliquer une stratégie pour gérer l’utilisation de Copilot correction automatique dans les référentiels de votre entreprise

Dans toutes les organisations de votre entreprise, vous pouvez autoriser ou interdire aux personnes disposant d’un accès administrateur aux dépôts de gérer les emplacements où Copilot correction automatique est activé pour les résultats Code Security. GitHub Code Security doit être activé pour que l’organisation de cette stratégie prenne effet.

  1. Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.
  2. En haut de la page, cliquez sur Stratégies.
  3. Sous  » Politiques », cliquez sur Advanced Security Code security.
  4. Dans la section « Stratégies », sous «Copilot correction automatique », sélectionnez le menu déroulant, puis cliquez sur une stratégie.

Remarque

Cette stratégie contrôle l’utilisation de Copilot correction automatique uniquement sur les résultats trouvés par des requêtes de sécurité code scanning. Copilot correction automatique fait partie intégrante de GitHub Code Quality et ne peut pas être désactivé pour cette fonctionnalité.