Application de stratégies de sécurité et d’analyse du code pour votre entreprise

Vous pouvez appliquer des règles pour gérer l'utilisation des fonctions de sécurité et d'analyse du code au sein des organisations de votre entreprise.

Qui peut utiliser cette fonctionnalité ?

Enterprise owners

GitHub Code Security et GitHub Secret Protection sont disponibles pour les comptes sur les comptes GitHub Team et GitHub Enterprise Cloud.

Certaines fonctionnalités sont également disponibles gratuitement pour les référentiels publics sur GitHub.com. Pour plus d’informations, consultez Plans de GitHub.

Pour plus d’informations sur GitHub Advanced Security for Azure DevOps, consultez Configurer GitHub Advanced Security for Azure DevOps dans Microsoft Learn.

Dans cet article

À propos des stratégies d’utilisation des fonctionnalités de sécurité dans votre entreprise

Vous pouvez appliquer des stratégies pour gérer l’utilisation des fonctionnalités de sécurité au sein des organisations appartenant à votre entreprise. Vous pouvez permettre ou interdire aux personnes disposant d’un accès administrateur à un dépôt d’activer ou de désactiver les fonctionnalités de sécurité et d’analyse.

De plus, vous pouvez appliquer des stratégies relatives à l’utilisation de GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security dans les organisations et les référentiels de votre entreprise.

Application d’une stratégie pour la disponibilité de Advanced Security dans les organisations de votre entreprise

Les produits GitHub Secret Protection, GitHub Code Security, and GitHub Advanced Security vous sont facturés par committer. Consultez À propos de la facturation pour GitHub Advanced Security.

Vous pouvez appliquer une stratégie qui détermine si les administrateurs de référentiel sont autorisés à activer des fonctionnalités pour Advanced Security dans les référentiels d’une organisation. Vous pouvez configurer une stratégie pour toutes les organisations appartenant à votre compte d’entreprise ou pour les organisations individuelles que vous choisissez.

Le fait de ne pas autoriser GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security pour une organisation empêche les administrateurs de référentiel d’activer des fonctionnalités GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security pour d’autres référentiels, mais pas de désactiver les fonctionnalités dans les référentiels où elles sont déjà activées.

Remarque

Cette politique ne concerne que les administrateurs de référentiels. Les propriétaires d’organisation et les responsables de la sécurité peuvent toujours activer les fonctionnalités de sécurité, quelle que soit la définition de cette stratégie. Pour plus d’informations, consultez « Rôles dans une organisation ».

  1. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil.

  2. En fonction de votre environnement, cliquez sur Votre entreprise ou sur Vos entreprises, puis cliquez sur l'entreprise que vous souhaitez consulter.

  3. En haut de la page, cliquez sur Stratégies.

  4. Sous « Stratégies », cliquez sur Advanced Security.

  5. Dans l’onglet « Stratégies » de la page « Advanced Security », sélectionnez le menu déroulant, puis cliquez sur une stratégie pour les organisations appartenant à votre entreprise.

  6. Si vous avez choisi Autoriser pour les organisations sélectionnées, vous pouvez également, à droite d’une organisation, sélectionner le menu déroulant pour définir les produits Advanced Security qui sont disponibles pour l’organisation.

    Capture d’écran du menu déroulant permettant de choisir une stratégie Advanced Security pour les organisations sélectionnées dans l’entreprise. La liste déroulante mise en évidence.

Application d’une stratégie pour la visibilité des insights sur les dépendances

Les insights sur les dépendances montrent tous les projets open source dont dépendent les référentiels au sein des organisations de votre entreprise. Les insights sur les dépendances incluent des informations agrégées sur les avis de sécurité et les licences. Pour plus d’informations, consultez « Affichage d’insights pour les dépendances de votre organisation ».

Dans toutes les organisations appartenant à votre entreprise, vous pouvez contrôler si les membres d’organisation peuvent voir les insights sur les dépendances. Vous pouvez également autoriser les propriétaires à administrer le paramètre au niveau de l’organisation. Pour plus d’informations, consultez « Modification de la visibilité des insights sur les dépendances de votre organisation ».

  1. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil.

  2. En fonction de votre environnement, cliquez sur Votre entreprise ou sur Vos entreprises, puis cliquez sur l'entreprise que vous souhaitez consulter.

  3. En haut de la page, cliquez sur Stratégies.

  4. Sous « Stratégies », cliquez sur Advanced Security.

  5. Dans la section « Stratégies », sous « Informations sur les dépendances », consultez les informations concernant la modification du paramètre.

  6. Si vous voulez voir la configuration actuelle de toutes les organisations dans le compte d’entreprise avant de changer le paramètre, cliquez sur Voir les configurations actuelles de vos organisations.

    Capture d’écran d’une stratégie dans les paramètres d’entreprise. Un lien intitulé « Afficher les configurations actuelles de vos organisations » est mis en évidence.

  7. Sous « Insights sur les dépendances », sélectionnez le menu déroulant et cliquez sur une stratégie.

Application d’une stratégie pour gérer l’utilisation des Dependabot alerts dans votre entreprise

Dans l’ensemble des organisations appartenant à votre entreprise, vous pouvez autoriser les membres disposant d’autorisations d’administrateur sur les dépôts à activer ou désactiver les Dependabot alerts et à changer les paramètres des Dependabot alerts.

Remarque

Cette politique ne concerne que les administrateurs de référentiels. Les propriétaires d’organisation et les responsables de la sécurité peuvent toujours activer les fonctionnalités de sécurité, quelle que soit la définition de cette stratégie. Pour plus d’informations, consultez « Rôles dans une organisation ».

  1. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil.
  2. En fonction de votre environnement, cliquez sur Votre entreprise ou sur Vos entreprises, puis cliquez sur l'entreprise que vous souhaitez consulter.
  3. En haut de la page, cliquez sur Stratégies.
  4. Sous « Stratégies », cliquez sur Advanced Security.
  5. Dans la section « Stratégies », sous « Activer ou désactiver Dependabot alerts par les administrateurs du référentiel », utilisez le menu déroulant pour choisir une stratégie.

Application d’une stratégie pour gérer l’utilisation des fonctionnalités Advanced Security dans les référentiels de votre entreprise

Dans l’ensemble des organisations de votre entreprise, vous pouvez autoriser ou interdire aux personnes disposant d’un accès administrateur aux référentiels de gérer l’utilisation des fonctionnalités Advanced Security dans les référentiels.

  1. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil.

  2. En fonction de votre environnement, cliquez sur Votre entreprise ou sur Vos entreprises, puis cliquez sur l'entreprise que vous souhaitez consulter.

  3. En haut de la page, cliquez sur Stratégies.

  4. Sous « Stratégies », cliquez sur Advanced Security.

  5. Dans la section « Stratégies », sous « Les administrateurs de référentiels peuvent activer ou désactiver PRODUCT », utilisez le menu déroulant pour définir si les administrateurs de référentiel peuvent modifier l’activation de GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security.

Application d’une stratégie pour gérer l’utilisation de la détection d’IA pour secret scanning dans les référentiels de votre entreprise

Dans l’ensemble des organisations de votre entreprise, vous pouvez permettre ou interdire aux personnes disposant d’un accès administrateur aux dépôts de gérer et de configurer la détection par IA dans secret scanning pour les référentiels. Cette stratégie prend uniquement effet si les administrateurs du référentiel sont également autorisés à modifier l’activation de Secret Protection (contrôlée par la stratégie « Les administrateurs du référentiel peuvent activer ou désactiver la protection des secrets »).

  1. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil.
  2. En fonction de votre environnement, cliquez sur Votre entreprise ou sur Vos entreprises, puis cliquez sur l'entreprise que vous souhaitez consulter.
  3. En haut de la page, cliquez sur Stratégies.
  4. Sous « Stratégies », cliquez sur Advanced Security.
  5. Dans la section « Stratégies », sous « Détection d’IA dans secret scanning », sélectionnez le menu déroulant, puis cliquez sur une stratégie.

Appliquer une politique pour gérer l'utilisation de dans les référentiels de votre entreprise

Dans toutes les organisations de votre entreprise, vous pouvez autoriser ou interdire aux personnes disposant d'un accès administrateur aux référentiels de gérer l'activation de . GitHub Code Security doit être activé pour l’organisation afin que cette stratégie prenne effet.

  1. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil.
  2. En fonction de votre environnement, cliquez sur Votre entreprise ou sur Vos entreprises, puis cliquez sur l'entreprise que vous souhaitez consulter.
  3. En haut de la page, cliquez sur Stratégies.
  4. Sous « Stratégies », cliquez sur Advanced Security.
  5. Dans la section « Stratégies », sous «  », sélectionnez le menu déroulant, puis cliquez sur une stratégie.