Appliquer la configuration de sécurité recommandée par GitHub à votre entreprise

Sécurisez votre code avec les paramètres d'activation de la sécurité créés, gérés et recommandés par GitHub.

Qui peut utiliser cette fonctionnalité ?

Propriétaires et membres de l'entreprise ayant le rôle d'administrateur

Dans cet article

La GitHub-recommended security configuration est un ensemble de meilleures pratiques et de fonctionnalités qui offrent aux entreprises un dispositif de sécurité de base solide. Cette configuration est créée et gérée par des experts en matière de sujets à GitHub, avec l’aide de plusieurs leaders et experts du secteur. Le GitHub-recommended security configuration est conçu pour réduire avec succès les risques de sécurité pour les dépôts à faible et à fort impact. Nous vous recommandons d'appliquer cette configuration à tous les référentiels de votre entreprise.

Les GitHub-recommended security configuration incluent les fonctionnalités GitHub Code Security et GitHub Secret Protection. L’application de la configuration à des référentiels privés et internes entraînera des coûts d’utilisation ou nécessitera des licences GHAS. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Warning

GitHub peut ajouter de nouvelles fonctionnalités au GitHub-recommended security configuration sans avertissement. Si vous avez des préoccupations et préférez tester les fonctionnalités avant qu’elles ne soient activées, nous vous suggérons de ne pas utiliser GitHub-recommended security configuration.

  1. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil.
  2. En fonction de votre environnement, cliquez sur Votre entreprise ou sur Vos entreprises, puis cliquez sur l'entreprise que vous souhaitez consulter.
  3. En haut de la page, cliquez sur Paramètres.
  4. Dans la barre latérale gauche, cliquez sur Advanced Security.
  5. Dans la ligne « GitHub recommandé » du tableau des configurations de votre organisation, sélectionnez le menu déroulant Appliquer à , puis cliquez sur Tous les référentiels ou Tous les référentiels sans configuration.

  1. Si vous le souhaitez, dans la boîte de dialogue de confirmation, vous pouvez choisir d’appliquer automatiquement la security configuration aux référentiels récemment créés en fonction de leur visibilité. Sélectionnez le menu déroulant Aucun , puis cliquez sur Public ou Privé et interne, ou les deux.

  2. Passez en revue les informations détaillées sur la manière dont vos modifications affecteront la consommation de licences Secret Protection and Code Security. Pour appliquer la security configuration, cliquez sur Appliquer.

Les security configuration sont appliquées aux référentiels actifs et archivés, car certaines fonctionnalités de sécurité s’exécutent sur des référentiels archivés, par exemple secret scanning. En outre, si un référentiel est ultérieurement désarchivé, vous pouvez avoir la certitude qu’il est protégé par la security configuration.

Si security configurationsne parvient pas à s’appliquer à certaines organisations de votre entreprise GitHub affiche une bannière sur l’IU pour vous informer. Vous pouvez cliquer sur les liens de la bannière pour obtenir plus d’informations sur les organisations et les référentiels impliqués.

  1. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil.
  2. En fonction de votre environnement, cliquez sur Votre entreprise ou sur Vos entreprises, puis cliquez sur l'entreprise que vous souhaitez consulter.
  3. En haut de la page, cliquez sur Paramètres.
  4. Dans la barre latérale gauche, cliquez sur Advanced Security.
  5. Dans la section « Configurations », sélectionnez « GitHub recommended ».
  6. Dans la section « Stratégie », à côté de « Appliquer la configuration », sélectionnez Appliquer dans le menu déroulant.
  7. Cliquez sur Enregistrer la configuration pour enregistrer votre modification dans le GitHub-recommended security configuration.

Note

Si un utilisateur de votre entreprise tente de modifier l'état d'activation d'une fonctionnalité dans une configuration imposée à l'aide de l'API REST, l'appel à l'API semblera réussir, mais aucun état d'activation ne sera modifié.

Certaines situations peuvent compromettre l'application des security configurations pour un référentiel. Par exemple, l'activation de code scanning ne s'appliquera pas à un référentiel si :

  • GitHub Actions est initialement activée sur le référentiel, mais est ensuite désactivée dans le référentiel.
  • Les GitHub Actions requises par les code scanning configurations ne sont pas disponibles dans le référentiel.
  • La définition des langues qui ne doivent pas être analysées à l'aide de code scanning est modifiée.