À propos des GitHub Advanced Securityproduits
GitHub dispose de nombreuses fonctionnalités qui vous aident à améliorer et à maintenir la qualité de votre code. Certains d’entre eux sont inclus dans tous les plans, tels que le graphique des dépendances et Dependabot alerts.
D’autres fonctionnalités de sécurité vous obligent à acheter l’un des GitHubAdvanced Security produits suivants :
- GitHub Secret Protection, qui inclut des fonctionnalités qui vous aident à détecter et à empêcher les fuites de secrets, telles que secret scanning et la protection d’envoi (push).
- GitHub Code Security, qui inclut des fonctionnalités qui vous aident à trouver et à corriger les vulnérabilités, telles que code scanning, des fonctionnalités premium Dependabot et la revue des dépendances.
Vous pouvez également disposer d'une licence GitHub Advanced Security qui inclut toutes les fonctionnalités de GitHub Secret Protection et GitHub Code Security.
Certaines de ces fonctionnalités, telles que code scanning et secret scanning, sont activées pour les référentiels publics par défaut. Pour exécuter la fonctionnalité sur vos dépôts privés ou internes, vous devez acheter le produit approprié GitHub Advanced Security .
Vous devez être sur un plan GitHub Team ou GitHub Enterprise pour acheter GitHub Code Security ou GitHub Secret Protection. Pour plus d’informations, consultez « plans de GitHub » et « GitHub Advanced Security facturation des licences ».
GitHub Code Security
Vous obtenez les fonctionnalités suivantes avec GitHub Code Security:
-
** Code scanning **: Recherchez les vulnérabilités de sécurité potentielles et les erreurs de codage dans votre code à l’aide de CodeQL ou d’un outil tiers. -
** CodeQL CLI **: exécutez des CodeQL processus localement sur des projets logiciels ou pour générer des code scanning résultats pour le chargement vers GitHub. -
** Copilot Autofix **: Obtenez des correctifs générés automatiquement pour les alertes code scanning. -
**Campagnes de sécurité** : Réduire la dette de sécurité à grande échelle. -
** Règles de triage automatique personnalisées pour Dependabot**: gérez votre Dependabot alerts à grande échelle en automatisant les alertes à ignorer, à mettre en attente, ou à déclencher une mise à jour de sécurité Dependabot. -
**Revue des dépendances :** Montrez l’impact complet des modifications apportées aux dépendances et examinez les détails de toutes les versions vulnérables avant de fusionner une pull request. -
**Vue d’ensemble de la sécurité** : comprendre la distribution des risques au sein de votre organisation.
Le tableau ci-dessous récapitule la disponibilité des GitHub Code Security fonctionnalités pour les référentiels publics et privés.
| Dépôt public Sans GitHub Code Security | Dépôt privé Sans GitHub Code Security | Référentiel public ou privé avec GitHub Code Security | |
|---|---|---|---|
| Code scanning | |||
| CodeQL CLI | |||
| Copilot Autofix | |||
| Campagnes de sécurité | |||
| Règles de triage automatique personnalisées | |||
| Vérification des dépendances | |||
| Vue d’ensemble de la sécurité |
Pour plus d’informations sur les fonctionnalités, consultez fonctionnalités de sécurité GitHub.
GitHub Secret Protection
Vous obtenez les fonctionnalités suivantes avec GitHub Secret Protection:
-
**Secret scanning** : détecter les secrets, par exemple les clés et les jetons, qui ont été archivés dans un référentiel et recevoir des alertes. -
**Protection push** : empêchez les fuites de secrets avant qu’elles ne se produisent en bloquant les validations contenant des secrets. -
**Modèles personnalisés** : détecter et empêcher les fuites pour les secrets spécifiques à l’organisation. -
**Contournement délégué pour la protection d’envoi (push)** et **Rejet d’alerte délégué** : implémenter un processus d’approbation pour mieux contrôler qui, dans votre entreprise, peut effectuer des actions sensibles, en prenant en charge la gouvernance à grande échelle. -
**Campagnes de sécurité** : corrigez les secrets exposés à grande échelle en créant une campagne et en collaboration pour les corriger. -
**Vue d’ensemble de la sécurité** : comprendre la distribution des risques au sein de votre organisation.
Le tableau ci-dessous récapitule la disponibilité des GitHub Secret Protection fonctionnalités pour les référentiels publics et privés.
| Dépôt public Sans GitHub Secret Protection | Dépôt privé Sans GitHub Secret Protection | Référentiel public ou privé avec GitHub Secret Protection | |
|---|---|---|---|
| Analyse de secrets | |||
| Protection contre les notifications push | |||
| Analyse des secrets avec Copilot | |||
| Modèles personnalisées | |||
| Contournement délégué pour la protection contre les poussées | |||
| Campagnes de sécurité | |||
| Vue d’ensemble de la sécurité |
Pour plus d’informations sur les fonctionnalités individuelles, consultez fonctionnalités de sécurité GitHub.
Exécuter une évaluation gratuite des risques de sécurité
<a href="https://github.com/get_started?with=risk-assessment&ref_product=code-scanning&ref_type=engagement&ref_style=button" target="_blank" class="btn btn-primary mt-3 mr-3 no-underline">
<span>Bien démarrer avec les évaluations des risques de sécurité</span><svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-link-external" aria-label="link external icon" role="img"><path d="M3.75 2h3.5a.75.75 0 0 1 0 1.5h-3.5a.25.25 0 0 0-.25.25v8.5c0 .138.112.25.25.25h8.5a.25.25 0 0 0 .25-.25v-3.5a.75.75 0 0 1 1.5 0v3.5A1.75 1.75 0 0 1 12.25 14h-8.5A1.75 1.75 0 0 1 2 12.25v-8.5C2 2.784 2.784 2 3.75 2Zm6.854-1h4.146a.25.25 0 0 1 .25.25v4.146a.25.25 0 0 1-.427.177L13.03 4.03 9.28 7.78a.751.751 0 0 1-1.042-.018.751.751 0 0 1-.018-1.042l3.75-3.75-1.543-1.543A.25.25 0 0 1 10.604 1Z"></path></svg></a>
Les organisations sur GitHub Team et GitHub Enterprise peuvent exécuter des évaluations gratuites des risques de sécurité pour comprendre leur exposition aux vulnérabilités de sécurité :
-
**Fuites de secrets** : analysez votre organisation pour détecter les secrets divulguées et voyez le nombre d’entre eux qui auraient pu être évités par GitHub Secret Protection. Consultez « [AUTOTITLE](/code-security/concepts/secret-security/about-secret-security-with-github#secret-risk-assessment) ». -
**Vulnérabilités du code** : analysez jusqu’à 20 de vos référentiels les plus actifs et découvrez le nombre de vulnérabilités pouvant être corrigées Copilot Autofix automatiquement si vous activez GitHub Code Security. Consultez « [AUTOTITLE](/code-security/concepts/code-scanning/code-security-risk-assessment) ».
Déploiement GitHub Code Security et GitHub Secret Protection
Pour en savoir plus sur ce que vous devez savoir pour planifier votre déploiement et GitHub Code SecurityGitHub Secret Protection à un niveau élevé et pour passer en revue les phases de déploiement recommandées, consultez Adoption de GitHub Advanced Security à grande échelle.
Activation des fonctionnalités
Vous pouvez rapidement activer les fonctionnalités de sécurité à grande échelle avec un security configuration, une collection de paramètres d’activation de sécurité que vous pouvez appliquer aux référentiels d’une organisation. Vous pouvez personnaliser les fonctionnalités de Advanced Security au niveau de l’organisation avec global settings. Consultez À propos de l'activation des fonctionnalités de sécurité à grande échelle.
Si vous êtes sur un plan GitHub Team ou GitHub Enterprise, l'utilisation de la licence pour l'ensemble de l'équipe ou de l'entreprise apparaît sur votre page de licence. Voir Consulter votre utilisation des produits et licences facturés à l’usage.
Gestion GitHub Advanced Security
Les propriétaires de l'entreprise peuvent gérer les GitHub Advanced Security licences et l'accès pour leur entreprise, notamment en désactivant GitHub Advanced Security sur l'ensemble des référentiels et en empêchant toute réactivation future. Consultez « Gestion des licences en volume pour GitHub Advanced Security ».
Pour plus d’informations sur la gestion de votre GitHub Advanced Security licence, consultez Gestion de votre solution en version payante de Advanced Security.
Tirer parti GitHub Copilot Chat pour comprendre les alertes de sécurité
En outre, avec une GitHub Copilot Enterprise licence, vous pouvez demander GitHub Copilot Chat de l’aide pour mieux comprendre les alertes de sécurité dans les référentiels de votre organisation (code scanningsecret scanninget Dependabot alerts). Consultez « Poser des questions à GitHub Copilot sur GitHub ».
À propos de GitHub Advanced Security la certification
Vous pouvez valoriser vos connaissances en obtenant un certificat GitHub Advanced Security par GitHub Certifications. La certification valide votre expertise en matière d'identification des vulnérabilités, de sécurité des flux de travail et de mise en œuvre d'une sécurité solide. Consultez « À propos de GitHub Certifications ».
À propos de GitHub Advanced Security avec Azure Repos
Si vous souhaitez utiliser GitHub Advanced Security avec Azure Repos, consultez GitHub Advanced Security & Azure DevOps sur notre site de ressources. Pour plus d’informations, consultez Configure GitHub Advanced Security for Azure DevOps dans Microsoft Learn.
Pour aller plus loin
-
[AUTOTITLE](/code-security/getting-started/github-security-features) -
[ GitHub feuille de route publique](https://github.com/github/roadmap) -
[AUTOTITLE](/admin/policies/enforcing-policies-for-your-enterprise/enforcing-policies-for-code-security-and-analysis-for-your-enterprise)