À propos de la gestion des paramètres de sécurité et d'analyse
GitHub peut vous aider à sécuriser les dépôts dans votre organisation. Vous pouvez gérer les fonctionnalités de sécurité et d'analyse pour tous les dépôts existants ou nouveaux que les membres créent dans votre organisation. Si vous disposez d’une licence, GitHub Secret Protection or GitHub Code Security vous pouvez également gérer l’accès à ces fonctionnalités. Pour plus d’informations, consultez « [AUTOTITLE](/get-started/learning-about-github/about-github-advanced-security) ».
Vous ne pouvez pas désactiver certaines fonctions de sécurité et d'analyse qui sont activées par défaut pour les dépôts publics.
Vous pouvez rapidement activer les fonctionnalités de sécurité à grande échelle avec un security configuration, une collection de paramètres d’activation de sécurité que vous pouvez appliquer aux référentiels d’une organisation. Vous pouvez personnaliser les fonctionnalités de Advanced Security au niveau de l’organisation avec global settings. Consultez À propos de l'activation des fonctionnalités de sécurité à grande échelle.
Si vous activez les fonctionnalités de sécurité et d’analyse, GitHub effectue une analyse en lecture seule sur votre dépôt.
Permettre à Dependabot d'accéder aux dépendances privées ou internes
Dependabot peut rechercher les références de dépendance obsolètes dans un projet et générer automatiquement un pull request pour mettre à jour les dépendances. Pour ce faire, Dependabot vous devez avoir accès à tous les fichiers de dépendance ciblés. En règle générale, les mises à jour de version échouent si une ou plusieurs dépendances sont inaccessibles. Pour plus d’informations, consultez « [AUTOTITLE](/code-security/dependabot/dependabot-version-updates/about-dependabot-version-updates) ».
Par défaut, Dependabot ne peut pas mettre à jour les dépendances situées dans des référentiels privés ou internes , ou des registres de packages privés ou internes . Toutefois, si une dépendance se trouve dans un référentiel privé ou interneGitHub au sein de la même organisation que le projet qui utilise cette dépendance, vous pouvez autoriser Dependabot à mettre à jour la version avec succès en lui donnant accès au référentiel hôte.
Si votre code dépend de packages dans un registre privé ou interne , vous pouvez autoriser Dependabot à mettre à jour les versions de ces dépendances en configurant cela au niveau du référentiel. Pour cela, ajoutez des détails d'authentification au fichier dependabot.yml pour le dépôt. Pour plus d’informations, consultez Clé registries de niveau supérieur.
Remarque
Pour que l’option d’accorder Dependabot l’accès aux référentiels privés ou internes soit disponible, Dependabot version updates ou Dependabot security updates doit être activé sur au moins un référentiel de l'organisation.
Pour plus d’informations sur la façon d’accorder Dependabot l’accès aux dépendances privées ou internes , consultez Configuration des paramètres de sécurité globaux pour votre organisation.
Suppression de l’accès aux GitHub Advanced Security fonctionnalités des dépôts individuels d’une organisation
Vous pouvez utiliser security configurations pour supprimer l’accès aux GitHub Advanced Security fonctionnalités des dépôts individuels d’une organisation. Pour plus d’informations, consultez « Gestion de votre utilisation payante de Advanced Security ».