Audit des alertes de sécurité

GitHub fournit un large éventail d’outils que vous pouvez utiliser pour auditer et surveiller les actions effectuées en réponse aux alertes de sécurité.

Dans cet article

À propos des outils de sécurité pour les auditeurs

GitHub fournit des outils pour les auditeurs de sécurité et les développeurs afin d’examiner et d’analyser les réponses aux alertes de sécurité au sein d’une entreprise ou d’une organisation. Ce guide décrit les outils, qui incluent les chronologies historiques, la vue d’ensemble de la sécurité, les journaux d’audit, l’API et les webhooks.

Les auditeurs de sécurité peuvent utiliser ces outils pour s’assurer que les actions appropriées sont prises pour résoudre les alertes de sécurité et identifier les différentes formations éventuelles possibles. Les développeurs peuvent utiliser ces outils pour analyser et déboguer leurs propres alertes de sécurité. Vous verrez uniquement les données des référentiels et des organisations auxquelles vous avez déjà accès.

Chronologie des alertes de sécurité

Chaque alerte de sécurité a une chronologie historique qui indique quand l’alerte a été créée ou quand un problème a été détecté. Lorsque le statut d’une alerte change, cela est consigné dans la chronologie, quelle que soit la cause du changement, par exemple Dependabot la clôture d’une alerte résolue et la réouverture d’une alerte par un développeur. Vous pouvez voir la chronologie historique d’une alerte sur la page d’alerte sous la description du problème.

La plupart des événements de la chronologie créent également un événement dans le journal d’audit, que vous pouvez interroger à l’aide de l’interface utilisateur du journal d’audit ou de l’API. Pour plus d’informations, consultez Journal d’audit.

Page de présentation de la sécurité

La vue d’ensemble de la sécurité regroupe les informations sur les alertes de sécurité et fournit des résumés globaux de l’état de sécurité de votre entreprise ou organisation.

Dans la vue d’ensemble de la sécurité, vous pouvez voir les référentiels avec des alertes de sécurité ouvertes, ainsi que les référentiels qui ont activé des fonctionnalités de sécurité spécifiques. Vous pouvez également utiliser la vue d’ensemble de la sécurité pour filtrer et trier les alertes de sécurité en utilisant des vues interactives.

Pour plus d’informations, consultez « Vue d’ensemble de la sécurité ».

Journal d’audit

Vous pouvez accéder aux journaux d’audit et les rechercher à l’aide de l’API ou de l’interface utilisateur du journal d’audit. Le journal d’audit répertorie les événements qui sont déclenchés par des activités affectant votre entreprise ou votre organisation, y compris les événements créés lors de certaines interactions avec une alerte de sécurité. Les interactions qui créent un événement peuvent être déclenchées manuellement ou par automatisation, par exemple, lors Dependabot de la création d’une alerte.

  • Secret scanning les événements suivent lorsqu’une alerte est créée, résolue ou rouverte, également lorsque la protection push est contournée.
  • Dependabot Les événements indiquent quand une alerte est créée, rejetée ou résolue.
  • Code scanning ne crée pas d’événements de chronologie dans un journal d’audit.

Pour obtenir une liste des événements du journal d’audit, consultez Événements du journal d’audit pour votre entreprise et Événements du journal d’audit pour votre organisation.

Pour plus d’informations sur l’accès au journal d’audit de votre entreprise ou organisation, consultez Accès au journal d’audit de votre entreprise et Examen du journal d’audit de votre organisation.

Webhooks

Vous pouvez configurer des webhooks code_scanning_alert, dependabot_alert et secret_scanning_alert pour recevoir des charges utiles chaque fois qu’il y a une réponse à une alerte de sécurité dans une organisation ou un référentiel. Vous pouvez également définir les réponses sur lesquelles agir ; par exemple, vous pouvez vouloir définir un webhook qui surveille les alertes secret scanning créées lorsqu’une personne contourne la protection des push à l’aide de la propriété d’alerte "push_protection_bypassed": true.

Vous pouvez également intégrer des charges utiles de webhook à d’autres outils que vous utilisez pour surveiller et informer les comportements de sécurité. Par exemple, un webhook se déclenche lorsqu’une alerte secrète est créée, résolue, révoquée, rouverte ou lorsqu’un état de validité d’un secret change. Vous pouvez ensuite analyser la charge utile de webhook et l’intégrer aux outils que votre équipe utilise, par exemple Slack, Microsoft Teams, Splunk ou les e-mails. Pour plus d’informations, consultez À propos des webhooks et Événements et charges utiles de webhook.

API

Vous pouvez utiliser l’API pour répertorier et interagir avec les alertes de sécurité, par exemple, obtenir les informations les plus récentes sur les mises à jour ou les masquages d’une alerte. Vous pouvez également utiliser l’API pour apporter des mises à jour supplémentaires à l’alerte ou pour automatiser les actions de suivi, telles que la création d’un problème pour chaque alerte nécessitant une action supplémentaire. Seul l’état actuel d’une alerte est signalé par l’API.

Dependabot API d’alertes

Vous pouvez répertorier toutes les Dependabot alertes d’un référentiel, d’une organisation ou d’une entreprise, ou utiliser des paramètres de chemin d’accès pour répertorier uniquement les alertes qui répondent à un ensemble spécifique de critères. Par exemple, vous souhaiterez Dependabot peut-être répertorier uniquement les alertes pour Maven qui ont été ignorées. Vous pouvez également obtenir tous les détails d’une alerte ou mettre à jour l’alerte.

Pour plus d’informations, consultez « Points de terminaison d’API REST pour Dependabot alerts ».

Secret scanning API d’alertes

Vous pouvez répertorier toutes les secret scanning alertes d’un référentiel, d’une organisation ou d’une entreprise, ou utiliser des paramètres de chemin d’accès pour répertorier uniquement les alertes qui répondent à un ensemble spécifique de critères. Vous pouvez également obtenir tous les détails d’une alerte ou mettre à jour l’alerte.

Pour voir quelles secret scanning alertes ont été le résultat d’un contournement de protection Push, filtrez les résultats pour "push_protection_bypassed": true.

Pour plus d’informations, consultez « Points de terminaison d’API REST pour l’analyse de secrets ».

Code scanning API d’alertes

Vous pouvez répertorier toutes les code scanning alertes d’un référentiel, d’une organisation ou d’une entreprise, ou utiliser des paramètres de chemin d’accès pour répertorier uniquement les alertes qui répondent à un ensemble spécifique de critères. Vous pouvez également obtenir tous les détails d’une alerte ou mettre à jour l’alerte.

Pour plus d’informations, consultez « Points de terminaison d’API REST pour l’analyse de codes ».

Lectures complémentaires