Configuration des paramètres de sécurité globaux pour votre organisation

Personnalisez Advanced Security fonctionnalités pour votre organisation en définissant des paramètres globaux qui garantissent des normes de sécurité cohérentes et protègent tous vos référentiels.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de l’organisation, gestionnaires de sécurité et membres de l’organisation avec le rôle d’administrateur

Dans cet article

Accès à la page global settings pour votre organisation

  1. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil, puis sur Vos organisations.

  2. Sous le nom de votre organisation, cliquez sur Settings. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran des onglets dans le profil d’une organisation. L’onglet « Paramètres » est présenté en orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, sélectionnez le menu déroulant Advanced Security, puis cliquez sur Global settings.

Configuration des paramètres globaux de Dependabot

Vous pouvez personnaliser plusieurs global settings pour Dependabot :

  •         [Création et gestion des Règles de triage automatique de Dependabot](#creating-and-managing-dependabot-auto-triage-rules)

  •         [Regroupement des mises à jour de sécurité Dependabot](#grouping-dependabot-security-updates)

  •         [Octroi à Dependabot d’un accès aux dépôts privés et internes](#granting-dependabot-access-to-private-and-internal-repositories)

Création et gestion des Règles de triage automatique de Dependabot

Vous pouvez créer et gérer des Règles de triage automatique de Dependabot pour indiquer à Dependabot de rejeter ou suspendre automatiquement les Dependabot alerts, et même d’ouvrir des demandes de tirage pour tenter de les résoudre. Pour configurer les Règles de triage automatique de Dependabot, cliquez sur , puis créez ou modifiez une règle :

  • Vous pouvez créer une règle en cliquant sur Nouvelle règle, puis en saisissant les détails de votre règle et en cliquant sur Créer une règle.
  • Vous pouvez modifier une règle existante en cliquant sur , puis en effectuant les modifications souhaitées et en cliquant sur Enregistrer la règle.

Pour plus d’informations sur les Règles de triage automatique de Dependabot, consultez À propos des règles de triage automatique de Dependabot et Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité.

Regroupement des Dependabot security updates

Dependabot peut regrouper toutes les mises à jour de sécurité suggérées automatiquement au sein d’une seule demande de tirage. Pour activer les mises à jour de sécurité groupées, sélectionnez Mises à jour de sécurité groupées. Pour plus d’informations sur les mises à jour groupées et les options de personnalisation, consultez Configuration des mises à jour de sécurité Dependabot.

Octroi à Dependabot d’un accès aux dépôts privés et internes

Pour mettre à jour les dépendances privées des dépôts de votre organisation, Dependabot a besoin d’accéder à ces dépôts. Pour accorder à Dependabot l’accès au dépôt privé ou interne souhaité, faites défiler vers le bas jusqu’à la section « Accorder à Dependabot l’accès aux dépôts privés », puis utilisez la barre de recherche pour rechercher et sélectionner le dépôt souhaité. N’oubliez pas que le fait d’accorder à Dependabot l’accès à un dépôt signifie que tous les utilisateurs de votre organisation auront accès au contenu de ce dépôt par le biais des Dependabot updates. Pour plus d’informations sur les écosystèmes pris en charge pour les dépôts privés, consultez Écosystèmes et référentiels pris en charge par Dependabot.

Configuration des paramètres globaux de code scanning

Code scanning es une fonctionnalité que vous utilisez pour analyser le code dans un dépôt GitHub afin de détecter d’éventuelles vulnérabilités de sécurité et erreurs de codage. Tous les problèmes identifiés par l’analyse sont énumérés dans votre référentiel.

Vous pouvez recommander que les référentiels de votre organisation utilisent la suite de requêtes « Étendue » au lieu de la suite de requêtes « Par défaut » pour une couverture plus large code scanning au sein de votre organisation. Consultez Recommandation de la suite de requêtes étendues pour la configuration par défaut.

Recommandation de la suite de requêtes étendue pour la configuration par défaut

Code scanning propose des groupes spécifiques de requêtes CodeQL, appelés suites de requêtes CodeQL, à exécuter sur votre code. Par défaut, la suite de requêtes « Default » est exécutée. GitHub propose également la suite de requêtes « Extended », qui contient toutes les requêtes de la suite « Default », ainsi que des requêtes supplémentaires avec une précision et une gravité moindres. Pour recommander la suite de requêtes « Extended » dans l’ensemble de votre organisation, sélectionnez Recommander la suite de requêtes étendue pour les dépôts utilisant la configuration par défaut. Pour plus d’informations sur les suites de requêtes intégrées pour la configuration par défaut de CodeQL, consultez Suites de requêtes CodeQL.

Extension de l'analyse de CodeQL

Vous pouvez étendre la couverture d'analyse de CodeQL pour tous les dépôts de votre organisation utilisant la configuration par défaut, en configurant les packs de modèles CodeQL. Les packs de modèles étendent l’analyse CodeQL pour reconnaître des infrastructures et bibliothèques supplémentaires qui ne sont pas incluses dans les bibliothèques standard CodeQL. Cette configuration globale s’applique aux référentiels à l’aide de la configuration par défaut et vous permet de spécifier des packs de modèles publiés via le registre de conteneurs. Pour plus d’informations, consultez « Modification de la configuration d’installation par défaut ».

Configuration des paramètres globaux de secret scanning

Secret scanning est un outil de sécurité qui analyse l’intégralité de l’historique Git des dépôts, ainsi que les problèmes, les pull requests et les discussions dans ces dépôts, pour détecter les secrets divulgués qui ont été accidentellement validés, tels que des jetons ou des clés privées.

Vous pouvez personnaliser plusieurs global settings pour secret scanning :

  •         [Ajout d’un lien de ressource pour les commits bloqués](#adding-a-resource-link-for-blocked-commits)

  •         [Définition de modèles personnalisés](#defining-custom-patterns)

Pour fournir un contexte aux développeurs lorsque secret scanning bloque un commit, vous pouvez afficher un lien fournissant des informations supplémentaires sur la raison du blocage. Pour inclure un lien, sélectionnez Ajouter un lien de ressource dans l’interface CLI et l’IU web lorsqu’un commit est bloqué. Dans la zone de texte, saisissez le lien vers la ressource souhaitée, puis cliquez sur Enregistrer le lien.

Définition de modèles personnalisés

Vous pouvez définir des modèles personnalisés pour secret scanning avec des expressions régulières. Les modèles personnalisés permettent d’identifier les secrets qui ne sont pas détectés par les modèles par défaut pris en charge par secret scanning. Pour créer un modèle personnalisé, cliquez sur Nouveau modèle, puis entrez les détails de votre modèle et cliquez sur Enregistrer et effectuer un test à blanc. Pour plus d’informations sur les modèles personnalisés, consultez Définition de modèles personnalisés pour l’analyse des secrets.

Création des gestionnaires de sécurité pour votre organisation

Le rôle gestionnaire de sécurité accorde aux membres de votre organisation la possibilité de gérer les paramètres de sécurité et les alertes au sein de votre organisation. Les gestionnaires de sécurité peuvent afficher les données de tous les dépôts de votre organisation par le biais d’une vue d’ensemble de la sécurité.

Pour en savoir plus sur le rôle de gestionnaire de sécurité, consultez Gestion des gestionnaires de sécurité dans votre organisation.

Pour attribuer le rôle de gestionnaire de sécurité, consultez Utilisation des rôles d'organisation.