Configuration des paramètres de sécurité globaux pour votre organisation

Personnalisez les Advanced Security fonctionnalités de votre organisation en définissant des paramètres globaux qui garantissent des normes de sécurité cohérentes et protègent tous vos dépôts.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de l’organisation, gestionnaires de sécurité et membres de l’organisation avec le rôle d’administrateur

Dans cet article

Accès à la global settings page de votre organisation

  1. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil, puis sur Vos organisations.

  2. Sous le nom de votre organisation, cliquez sur Settings. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran des onglets dans le profil d’une organisation. L’onglet « Paramètres » est présenté en orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, sélectionnez le Advanced Security menu déroulant, puis cliquez sur Global settings.

Configuration des paramètres globaux Dependabot

Vous pouvez personnaliser plusieurs global settings pour Dependabot:

Création et gestion Règles de triage automatique de Dependabot

Vous pouvez créer et gérer Règles de triage automatique de Dependabot pour que Dependabot ignore ou répète Dependabot alerts automatiquement, et même tenter de les résoudre en ouvrant des demandes de tirage. Pour configurer Règles de triage automatique de Dependabot, cliquez , puis créez ou modifiez une règle :

  • Vous pouvez créer une règle en cliquant sur Nouvelle règle, puis en saisissant les détails de votre règle et en cliquant sur Créer une règle.
  • Vous pouvez modifier une règle existante en cliquant sur , puis en effectuant les modifications souhaitées et en cliquant sur Enregistrer la règle.

Pour plus d’informations sur Règles de triage automatique de Dependabot, consultez À propos des règles de triage automatique de Dependabot et Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité.

Regroupement Dependabot security updates

          Dependabot peut regrouper toutes les mises à jour de sécurité suggérées automatiquement dans une pull request unique. Pour activer les mises à jour de sécurité groupées, sélectionnez **Mises à jour de sécurité groupées**. Pour plus d’informations sur les mises à jour groupées et les options de personnalisation, consultez [AUTOTITLE](/code-security/how-tos/secure-your-supply-chain/secure-your-dependencies/configuring-dependabot-security-updates#grouping-dependabot-security-updates-into-a-single-pull-request).

Octroi de Dependabot l’accès aux référentiels privés et internes

Pour mettre à jour les dépendances privées des référentiels de votre organisation, Dependabot vous devez accéder à ces référentiels. Pour accorder Dependabot l’accès au référentiel privé ou interne souhaité, faites défiler jusqu’à la section « Accorder Dependabot l’accès aux référentiels privés », puis utilisez la barre de recherche pour rechercher et sélectionner le référentiel souhaité. N’oubliez pas que l’octroi Dependabot de l’accès à un référentiel signifie que tous les utilisateurs de votre organisation auront accès au contenu de ce référentiel via Dependabot updates. Pour plus d’informations sur les écosystèmes pris en charge pour les dépôts privés, consultez Écosystèmes et référentiels pris en charge par Dependabot.

Configuration des paramètres globaux code scanning

Code scanning es une fonctionnalité que vous utilisez pour analyser le code dans un dépôt GitHub afin de détecter d’éventuelles vulnérabilités de sécurité et erreurs de codage. Tous les problèmes identifiés par l’analyse sont énumérés dans votre référentiel.

Vous pouvez recommander que les dépôts de votre organisation utilisent la suite de requêtes « Étendue » au lieu de la suite de requêtes « Par défaut » pour une couverture plus large code scanning au sein de votre organisation. Consultez Recommandation de la suite de requêtes étendues pour la configuration par défaut.

Recommandation de la suite de requêtes étendue pour la configuration par défaut

          Code scanningpropose des groupes spécifiques de requêtes, appelés CodeQL suites de CodeQL requêtes, à exécuter sur votre code. Par défaut, la suite de requêtes « Default » est exécutée. 
          GitHub offre également la suite de requêtes « Étendue », qui contient toutes les requêtes de la suite de requêtes « Par défaut », ainsi que des requêtes supplémentaires avec une précision et une gravité inférieures. Pour recommander la suite de requêtes « Extended » dans l’ensemble de votre organisation, sélectionnez **Recommander la suite de requêtes étendue pour les dépôts utilisant la configuration par défaut**. Pour plus d’informations sur les suites de requêtes intégrées pour la CodeQL configuration par défaut, consultez [AUTOTITLE](/code-security/concepts/code-scanning/codeql/codeql-query-suites).

Développement de l’analyse CodeQL

Vous pouvez étendre la couverture d’analyse CodeQL pour tous les référentiels de votre organisation qui utilisent la configuration par défaut en configurant CodeQL des ensembles de modèles. Les packs de modèles étendent l’analyse CodeQL pour reconnaître des infrastructures et des bibliothèques supplémentaires qui ne sont pas incluses dans les bibliothèques standard CodeQL . Cette configuration globale s’applique aux référentiels à l’aide de la configuration par défaut et vous permet de spécifier des packs de modèles publiés via le registre de conteneurs. Pour plus d’informations, consultez « Modification de la configuration d’installation par défaut ».

Configuration des paramètres globaux secret scanning

Secret scanning est un outil de sécurité qui analyse l’intégralité de l’historique Git des dépôts, ainsi que les problèmes, les pull requests et les discussions dans ces dépôts, pour détecter les secrets divulgués qui ont été accidentellement validés, tels que des jetons ou des clés privées.

Vous pouvez personnaliser plusieurs global settings pour secret scanning:

Pour fournir un contexte aux développeurs quand ils secret scanning bloquent une validation, vous pouvez afficher un lien avec plus d’informations sur la raison pour laquelle la validation a été bloquée. Pour inclure un lien, sélectionnez Ajouter un lien de ressource dans l’interface CLI et l’IU web lorsqu’un commit est bloqué. Dans la zone de texte, tapez le lien vers la ressource souhaitée, puis cliquez sur Enregistrer le lien.

Définition de modèles personnalisés

Vous pouvez définir des modèles personnalisés pour secret scanning avec des expressions régulières. Les modèles personnalisés peuvent identifier les secrets qui ne sont pas détectés par les modèles par défaut pris en charge par secret scanning. Pour créer un modèle personnalisé, cliquez sur Nouveau modèle, puis entrez les détails de votre modèle et cliquez sur Enregistrer et effectuer un test à blanc. Pour plus d’informations sur les modèles personnalisés, consultez Définition de modèles personnalisés pour l’analyse des secrets.

Création des gestionnaires de sécurité pour votre organisation

Le rôle gestionnaire de sécurité accorde aux membres de votre organisation la possibilité de gérer les paramètres de sécurité et les alertes au sein de votre organisation. Les gestionnaires de sécurité peuvent afficher les données de tous les dépôts de votre organisation par le biais d’une vue d’ensemble de la sécurité.

Pour en savoir plus sur le rôle de gestionnaire de sécurité, consultez Gestion des gestionnaires de sécurité dans votre organisation.

Pour attribuer le rôle de gestionnaire de sécurité, consultez Utilisation des rôles d'organisation.