Gérer l’accès à GitHub Advanced Security
Dans l’unité précédente, vous avez appris à activer GitHub Advanced Security en fonction de votre plan d’entreprise.
Cette unité vous guide tout au long de la configuration de GitHub Advanced Security pour un projet. Il explique comment gérer l’accès aux alertes de sécurité et configurer des stratégies de sécurité au niveau de l’organisation et du référentiel.
Gérer l’accès aux alertes de sécurité
Lorsque vous configurez GitHub Advanced Security pour un projet, vous souhaitez vous assurer que les bonnes personnes de votre organisation peuvent afficher et résoudre toutes les alertes. Les rôles et autorisations nécessaires pour afficher ces alertes dépendent du type d’alerte.
Ce tableau présente les rôles et autorisations minimaux nécessaires pour afficher chaque type d’alerte dans l’onglet Sécurité du référentiel :
| Type d’alerte de sécurité | Rôles et autorisations requises |
|---|---|
| Alertes d’analyse du code | Autorisation d’écriture sur le référentiel |
| Alertes d’analyse de secrets | Administrateurs de référentiels et propriétaires d’organisations |
| Alertes Dependabot | Administrateurs de référentiels et propriétaires d’organisations |
En outre, les administrateurs de référentiels et les propriétaires d’organisations peuvent donner aux utilisateurs et aux équipes un accès à l'analyse de secrets et aux alertes Dependabot, avec l’autorisation d’écriture sur leurs référentiels à partir des paramètres de sécurité et d’analyse du référentiel.
Avec l’ensemble approprié de rôles et d’autorisations, les développeurs impliqués dans votre workflow de sécurité peuvent effectuer les actions suivantes :
- Pour les alertes d’analyse du code : validez les corrections dans le code, ignorez les alertes qui ne nécessitent aucune action ou supprimez des alertes pour nettoyer les résultats de l’analyse du code.
- Pour les alertes d’analyse des secrets : supprimez les secrets détectés, créez des jetons et mettez à jour le code qui utilise les secrets détectés ou ignorez les alertes qui ne nécessitent aucune action.
- Pour les alertes Dependabot : mettez à jour les dépendances vulnérables ou ignorez les alertes qui ne nécessitent aucune action.
Définir une stratégie de sécurité au niveau de l’organisation
Un bon moyen de s’assurer que tous les membres de votre organisation utilisent GitHub Advanced Security consiste à configurer une stratégie de sécurité au niveau de l’organisation. Par exemple, vous pouvez définir une stratégie qui permet à tous les administrateurs de référentiels de votre organisation d’activer des fonctionnalités pour Advanced Security pour leurs dépôts.
Les stratégies peuvent être configurées pour toutes les organisations appartenant à votre compte d’entreprise ou pour les organisations individuelles que vous choisissez.
Procédez comme suit pour configurer une stratégie de sécurité au niveau de l’organisation :
Dans la barre latérale de votre entreprise, accédez à Policies > Advanced Security.
Sous GitHub Advanced Security, sélectionnez le menu déroulant et sélectionnez une stratégie pour les organisations appartenant à votre entreprise.
Si vous avez choisi Autoriser les organisations sélectionnées à droite d’une organisation, sélectionnez le menu déroulant pour autoriser ou interdire Advanced Security pour l’organisation. L’interdiction de la sécurité avancée pour une organisation empêche les administrateurs de référentiels d’activer les fonctionnalités Advanced Security pour d’autres référentiels, mais elle ne désactive pas les fonctionnalités des référentiels où les fonctionnalités sont déjà activées.
Remarque
N'oubliez pas que GitHub facture Advanced Security par contributeur lors de la configuration d'une stratégie au niveau de l'organisation.
Définir une stratégie de sécurité au niveau du référentiel
Tout aussi important lors de la configuration d’un projet GitHub consiste à documenter comment signaler des vulnérabilités de sécurité pour le projet. Pour ce faire, vous pouvez ajouter un fichier SECURITY.md à la racine, ou aux dossiers docs ou .github du dépôt de projet. Ensuite, lorsque quelqu’un crée un problème dans un référentiel, il voit un lien vers la stratégie de sécurité de votre projet.
Une fois qu’une personne signale une vulnérabilité de sécurité dans votre projet, vous pouvez utiliser des conseils de sécurité GitHub pour divulguer, corriger et publier des informations sur la vulnérabilité.
Procédez comme suit pour configurer une stratégie de sécurité au niveau du référentiel :
- Dans votre référentiel, naviguez vers Sécurité > Stratégie de sécurité.
- Sélectionnez Démarrer l’installation.
- Dans le nouveau fichier
SECURITY.md, ajoutez des informations sur les versions prises en charge de votre projet et sur la façon de signaler une vulnérabilité. - Validez la modification apportée au référentiel.