Skip to main content

Application de la configuration de sécurité recommandée par GitHub dans votre organisation

Sécurisez votre code avec les paramètres d’activation de sécurité créés, gérés et recommandés par GitHub.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de l’organisation, gestionnaires de sécurité et membres de l’organisation avec le rôle d’administrateur

Le GitHub-recommended security configuration est un ensemble de paramètres d'activation pour les fonctions de sécurité de GitHub qui est créé et maintenu par les experts en la matière de GitHub. Le GitHub-recommended security configuration est conçu pour réduire avec succès les risques de sécurité pour les dépôts à faible et à fort impact. Nous vous recommandons d’appliquer cette configuration à tous les dépôts de votre organisation.

  1. Dans le coin supérieur droit de GitHub, sélectionnez votre photo de profil, puis cliquez sur Vos organisations.

  2. Sous le nom de votre organisation, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran des onglets dans le profil d’une organisation. L’onglet « Paramètres » est présenté en orange foncé.

  3. Dans la section Sécurité de la barre latérale, sélectionnez le menu déroulant Sécurité du code, puis cliquez sur Configurations.

  4. Dans la ligne « GitHub recommandée » du tableau des configurations de votre organisation, sélectionnez le menu déroulant Appliquer à , puis cliquez sur Tous les dépôts ou Tous les dépôts sans configuration.

  5. Si vous le souhaitez, dans la boîte de dialogue de confirmation, vous pouvez choisir d’appliquer automatiquement la security configuration aux référentiels récemment créés en fonction de leur visibilité. Sélectionnez le menu déroulant Aucun , puis cliquez sur Public ou Privé et interne, ou les deux.

    Remarque : la security configuration par défaut d’une organisation est uniquement appliquée automatiquement aux nouveaux référentiels créés dans votre organisation. Si un référentiel est transféré dans votre organisation, vous devez toujours appliquer manuellement une security configuration au référentiel.

  6. Pour appliquer la security configuration, cliquez sur Appliquer.

Les security configuration sont appliquées aux référentiels actifs et archivés, car certaines fonctionnalités de sécurité s’exécutent sur des référentiels archivés, par exemple secret scanning. En outre, si un référentiel est ultérieurement désarchivé, vous pouvez avoir la certitude qu’il est protégé par la security configuration.

  1. Dans le coin supérieur droit de GitHub, sélectionnez votre photo de profil, puis cliquez sur Vos organisations.

  2. Sous le nom de votre organisation, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran des onglets dans le profil d’une organisation. L’onglet « Paramètres » est présenté en orange foncé.

  3. Dans la section Sécurité de la barre latérale, sélectionnez le menu déroulant Sécurité du code, puis cliquez sur Configurations.

  4. Optionnellement, dans la section « Appliquer les configurations », filtrez la vue pour trouver les dépôts auxquels vous souhaitez appliquer le GitHub-recommended security configuration. Pour savoir comment filtrer le tableau du dépôt, consultez « Filtrage des référentiels dans votre organisation à l’aide de la table de dépôts ».

  5. Dans la table de dépôts, sélectionnez les dépôts à l’aide de l’une des trois méthodes suivantes :

    • Sélectionnez chaque dépôt individuel auquel vous souhaitez appliquer la security configuration à.
    • Pour sélectionner tous les dépôts de la page actuelle du tableau des dépôts, sélectionnez dépôts NUMÉRO.
    • Après avoir sélectionné les dépôts NUMÉRO, pour sélectionner tous les dépôts de votre organisation qui correspondent à vos critères de filtre, cliquez sur Sélectionner tout.
  6. Sélectionnez le menu déroulant Appliquer la configuration , puis cliquez sur GitHub recommandé.

  7. Si vous le souhaitez, dans la boîte de dialogue de confirmation, vous pouvez choisir d’appliquer automatiquement la security configuration aux référentiels récemment créés en fonction de leur visibilité. Sélectionnez le menu déroulant Aucun , puis cliquez sur Public ou Privé et interne, ou les deux.

    Remarque : la security configuration par défaut d’une organisation est uniquement appliquée automatiquement aux nouveaux référentiels créés dans votre organisation. Si un référentiel est transféré dans votre organisation, vous devez toujours appliquer manuellement une security configuration au référentiel.

  8. Pour appliquer la security configuration, cliquez sur Appliquer.

Les security configuration sont appliquées aux référentiels actifs et archivés, car certaines fonctionnalités de sécurité s’exécutent sur des référentiels archivés, par exemple secret scanning. En outre, si un référentiel est ultérieurement désarchivé, vous pouvez avoir la certitude qu’il est protégé par la security configuration.

  1. Dans le coin supérieur droit de GitHub, sélectionnez votre photo de profil, puis cliquez sur Vos organisations.

  2. Sous le nom de votre organisation, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran des onglets dans le profil d’une organisation. L’onglet « Paramètres » est présenté en orange foncé.

  3. Dans la section Sécurité de la barre latérale, sélectionnez le menu déroulant Sécurité du code, puis cliquez sur Configurations.

  4. Dans la section « Configurations de sécurité du code », sélectionnez « GitHub recommandé ».

  5. Dans la section « Stratégie », à côté de « Appliquer la configuration », sélectionnez Appliquer dans le menu déroulant.

Note

Si un utilisateur de votre organisation tente de modifier l'état d'activation d'une fonctionnalité dans une configuration imposée à l'aide de l'API REST, l'appel à l'API semblera réussir, mais aucun état d'activation ne sera modifié.

Certaines situations peuvent compromettre l'application des security configurations pour un référentiel. Par exemple, l'activation de code scanning ne s'appliquera pas à un référentiel si :

  • GitHub Actions est initialement activée sur le référentiel, mais est ensuite désactivée dans le référentiel.
  • Les GitHub Actions requises par les code scanning configurations ne sont pas disponibles dans le référentiel.
  • La définition des langues qui ne doivent pas être analysées à l'aide de code scanning est modifiée.

Étapes suivantes

Après avoir appliqué le GitHub-recommended security configuration, vous pouvez personnaliser les paramètres de sécurité au niveau de l'organisation avec le global settings. Consultez « Configuration des paramètres de sécurité globaux pour votre organisation ».

Vous pouvez rencontrer une erreur lorsque vous tentez d’appliquer une security configuration. Pour plus d’informations, consultez « Finding and fixing configuration attachment failures » et « Résolution des problèmes de configurations de sécurité ».