{"meta":{"title":"fonctionnalités de sécurité GitHub","intro":"Vue d’ensemble des fonctionnalités de GitHub sécurité.","product":"Sécurité et qualité du code","breadcrumbs":[{"href":"/fr/enterprise-cloud@latest/code-security","title":"Sécurité et qualité du code"},{"href":"/fr/enterprise-cloud@latest/code-security/getting-started","title":"Mise en route"},{"href":"/fr/enterprise-cloud@latest/code-security/getting-started/github-security-features","title":"fonctionnalités de sécurité GitHub"}],"documentType":"article"},"body":"# fonctionnalités de sécurité GitHub\n\nVue d’ensemble des fonctionnalités de GitHub sécurité.\n\n## À propos GitHubdes fonctionnalités de sécurité\n\n```\n GitHubles fonctionnalités de sécurité permettent de sécuriser votre code et vos secrets dans les référentiels et dans les organisations.\n```\n\n* Certaines fonctionnalités sont disponibles pour tous les GitHub plans.\n* D’autres fonctionnalités sont disponibles pour les organisations et les enterprises qui achètent un GitHub Team produit sur GitHub Enterprise Cloud et GitHub Advanced Security :\n * [GitHub Secret Protection](#available-with-github-secret-protection)\n * [GitHub Code Security](#available-with-github-code-security)\n* En outre, un certain nombre de fonctionnalités GitHub Secret Protection et GitHub Code Security peuvent être exécutées gratuitement sur des dépôts publics.\n\n## Disponible pour toutes les GitHub formules\n\nLes fonctionnalités de sécurité suivantes sont à votre disposition, quel que soit le plan GitHub auquel vous êtes abonné.\nVous n’avez pas besoin d’acheter GitHub Secret Protection or GitHub Code Security pour utiliser ces fonctionnalités.\n\nLa plupart de ces fonctionnalités sont disponibles pour les référentiels publics, internes et privés.\nCertaines fonctionnalités sont *exclusivement* réservées aux référentiels publics.\n\n### Stratégie de sécurité\n\nPermettez à vos utilisateurs de signaler de manière confidentielle les vulnérabilités de sécurité qu’ils ont détectées dans votre dépôt. Pour plus d’informations, consultez « [Ajout d’une stratégie de sécurité à votre dépôt](/fr/enterprise-cloud@latest/code-security/getting-started/adding-a-security-policy-to-your-repository) ».\n\n### Graphe de dépendances\n\nLe graphe de dépendances vous permet d’explorer les écosystèmes et les packages dont dépend votre dépôt ainsi que les dépôts et les packages qui dépendent de votre dépôt.\n\nVous trouverez le graphe de dépendances sous l’onglet **Insights** de votre dépôt. Pour plus d’informations, consultez « [À propos du graphe de dépendances](/fr/enterprise-cloud@latest/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph) ».\n\n### Nomenclature logicielle (SBOM)\n\nVous pouvez exporter le graphique des dépendances de votre référentiel sous la forme d’une nomenclature logicielle (SBOM) conforme à la norme SPDX. Pour plus d’informations, consultez « [Exportation d’une nomenclature logicielle pour votre dépôt](/fr/enterprise-cloud@latest/code-security/supply-chain-security/understanding-your-software-supply-chain/exporting-a-software-bill-of-materials-for-your-repository) ».\n\n### GitHub Advisory Database\n\nLe GitHub Advisory Database contient une liste organisée de vulnérabilités de sécurité que vous pouvez afficher, rechercher et filtrer. Pour plus d’informations, consultez « [Exploration des avis de sécurité dans la base de données GitHub Advisory](/fr/enterprise-cloud@latest/code-security/security-advisories/working-with-global-security-advisories-from-the-github-advisory-database/browsing-security-advisories-in-the-github-advisory-database) ».\n\n###\n\n```\n Dependabot alerts et mises à jour de sécurité\n```\n\nAffichez des alertes sur les dépendances connues pour contenir des vulnérabilités de sécurité et choisissez si des demandes de tirage (pull request) sont générées automatiquement pour mettre à jour ces dépendances. Pour plus d’informations, consultez « [À propos des alertes Dependabot](/fr/enterprise-cloud@latest/code-security/dependabot/dependabot-alerts/about-dependabot-alerts) » et « [À propos des mises à jour de sécurité Dependabot](/fr/enterprise-cloud@latest/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates) ».\n\nVous pouvez également utiliser la configuration par défaut, régie par Règles de triage automatique de Dependabot, pour que GitHub filtre automatiquement une quantité substantielle de faux positifs.\n\nPour obtenir une vue d’ensemble des différentes caractéristiques offertes par Dependabot et des instructions de prise en main, consultez [Guide de démarrage rapide Dependabot](/fr/enterprise-cloud@latest/code-security/getting-started/dependabot-quickstart-guide).\n\n#### Dependabot malware alerts\n\nSur GitHub.com et GitHub Enterprise Server 3.22+, vous pouvez afficher des alertes pour les dépendances malveillantes dans votre référentiel. Consultez « [Alertes de programmes malveillants Dependabot](/fr/enterprise-cloud@latest/code-security/concepts/supply-chain-security/dependabot-malware-alerts) ».\n\n### Dependabot version updates\n\nUtilisez Dependabot pour déclencher automatiquement des requêtes de tirage afin de garder vos dépendances à jour. Cela aide à réduire votre exposition aux versions antérieures des dépendances. L’utilisation de versions plus récentes facilite l’application de correctifs si des vulnérabilités de sécurité sont découvertes, et rend également plus facile pour Dependabot security updates de créer des pull requests pour mettre à niveau les dépendances vulnérables. Vous pouvez également personnaliser Dependabot version updates pour simplifier leur intégration dans vos référentiels. Pour plus d’informations, consultez « [À propos des mises à jour de version Dependabot](/fr/enterprise-cloud@latest/code-security/dependabot/dependabot-version-updates/about-dependabot-version-updates) ».\n\n### Avis de sécurité\n\nÉchangez de manière confidentielle et corrigez les vulnérabilités de sécurité présentes dans le code de votre référentiel public. Vous pouvez ensuite publier un avis de sécurité pour alerter votre communauté sur la vulnérabilité et encourager les membres de la communauté à effectuer une mise à niveau. Pour plus d’informations, consultez « [À propos des avis de sécurité des référentiels](/fr/enterprise-cloud@latest/code-security/security-advisories/working-with-repository-security-advisories/about-repository-security-advisories) ».\n\n### Ensembles de règles d'un dépôt\n\nAppliquez de façon cohérente des normes de code, de sécurité et de conformité sur l’ensemble des branches et des balises. Pour plus d’informations, consultez « [À propos des ensembles de règles](/fr/enterprise-cloud@latest/repositories/configuring-branches-and-merges-in-your-repository/managing-rulesets/about-rulesets) ».\n\n### Attestations d’artefacts\n\nGénérez des garanties infalsifiables de provenance et d’intégrité pour les logiciels que vous développez. Pour plus d’informations, consultez « [Utilisation des attestations d’artefacts pour établir la provenance des builds](/fr/enterprise-cloud@latest/actions/security-for-github-actions/using-artifact-attestations/using-artifact-attestations-to-establish-provenance-for-builds) ».\n\n### Alertes de détection de secrets destinées aux partenaires\n\nLorsqu’il GitHub détecte un secret fuite dans un dépôt public ou un package npm public, GitHub informe le fournisseur de services approprié que le secret peut être compromis. Pour davantage d’informations sur les secrets et les fournisseurs de services pris en charge, consultez [Modèles de détection de secrets pris en charge](/fr/enterprise-cloud@latest/code-security/secret-scanning/introduction/supported-secret-scanning-patterns#supported-secrets).\n\n### Protection d’envoi pour les utilisateurs\n\nLa protection Push pour les utilisateurs vous protège automatiquement contre la validation accidentelle des secrets dans les référentiels publics, que le référentiel lui-même soit secret scanning activé. La protection du push pour les utilisateurs est activée par défaut, avec la possibilité de la désactiver à tout moment depuis les paramètres de votre compte personnel. Pour plus d’informations, consultez « [Gestion de la protection push pour les utilisateurs](/fr/enterprise-cloud@latest/code-security/secret-scanning/working-with-secret-scanning-and-push-protection/push-protection-for-users) ».\n\n## Disponible avec GitHub Secret Protection\n\nPour les comptes activés GitHub Team etGitHub Enterprise Cloud , vous pouvez accéder à des fonctionnalités de sécurité supplémentaires lorsque vous achetez .**GitHub Secret Protection**\n\n```\n GitHub Secret Protection inclut des fonctionnalités qui vous permettent de détecter et d’empêcher les fuites d’informations d’identification et la prolifération des secrets, telles que secret scanning la détection des informations d’identification codées en dur et la protection push pour les bloquer avant qu’elles n’atteignent votre dépôt.\n```\n\nCes fonctionnalités sont proposées pour l’ensemble des types de référentiels.\nCertaines de ces fonctionnalités sont disponibles gratuitement pour les référentiels publics, ce qui signifie que vous n’avez pas besoin d’acheter GitHub Secret Protection pour activer la fonctionnalité sur un référentiel public.\n\n\n\n### Alertes d’analyse de secrets pour les utilisateurs\n\nDétectez automatiquement les informations d’identification codées en dur qui ont été vérifiées dans un référentiel. Vous pouvez afficher des alertes pour tous les secrets qui GitHub se trouvent dans votre code, sous l’onglet ** Security and quality** de votre référentiel, afin de pouvoir répondre rapidement aux fuites d’informations d’identification. Pour plus d’informations, consultez « [À propos de l’analyse des secrets](/fr/enterprise-cloud@latest/code-security/secret-scanning/introduction/about-secret-scanning) ».\n\nDisponible pour les référentiels publics par défaut.\n\n### Analyse des secrets avec Copilot\n\n```\n Analyse des secrets avec Copilot\n```\n\nLa détection générique de secrets est une extension de secret scanning basée sur l’IA qui identifie les secrets non structurés (mots de passe) dans votre code source, puis génère une alerte. Pour plus d’informations, consultez « [Détection responsable des secrets génériques avec l'analyse des secrets par Copilot](/fr/enterprise-cloud@latest/code-security/secret-scanning/copilot-secret-scanning/responsible-ai-generic-secrets) ».\n\n### Protection push.\n\nLa protection Push analyse de manière proactive votre code et le code de tous les contributeurs de référentiel, pour les secrets codés en dur pendant le processus push et bloque l’envoi si des fuites d’informations d’identification sont détectées. Si un contributeur contourne le bloc, une alerte est générée. Pour plus d’informations, consultez « [À propos de la protection lors du push](/fr/enterprise-cloud@latest/code-security/secret-scanning/introduction/about-push-protection) ».\n\nDisponible pour les référentiels publics par défaut.\n\n### Contournement délégué pour la protection des poussées\n\nLe contournement délégué pour la protection Push vous permet de contrôler les individus, les rôles et les équipes :\n\n* Peut contourner la protection par push\n* Sont exemptés de la protection Push\n* Peut passer en revue les demandes de dérogation d'autres contributeurs\n\nPour plus d’informations, consultez « [À propos du contournement délégué pour la protection push](/fr/enterprise-cloud@latest/code-security/secret-scanning/using-advanced-secret-scanning-and-push-protection-features/delegated-bypass-for-push-protection/about-delegated-bypass-for-push-protection) ».\n\n### Modèles personnalisés\n\nVous pouvez définir des modèles personnalisés pour identifier les secrets qui ne sont pas détectés par les modèles par défaut pris en charge par secret scanning, tels que les modèles internes à votre organisation. Pour plus d’informations, consultez « [Définition de modèles personnalisés pour l’analyse des secrets](/fr/enterprise-cloud@latest/code-security/secret-scanning/using-advanced-secret-scanning-and-push-protection-features/custom-patterns/defining-custom-patterns-for-secret-scanning) ».\n\n\n\n### Vue d’ensemble de la sécurité\n\nLa vue d’ensemble de la sécurité permet d’analyser le paysage global de la sécurité de votre organisation, d’examiner les tendances et autres informations clés, et de gérer les configurations de sécurité, facilitant ainsi la surveillance de l’état de sécurité et l’identification des référentiels et organisations les plus exposés. Pour plus d’informations, consultez « [À propos de la vue d’ensemble de la sécurité](/fr/enterprise-cloud@latest/code-security/security-overview/about-security-overview) ».\n\n## Disponible avec GitHub Code Security\n\nPour les comptes activés GitHub Team etGitHub Enterprise Cloud , vous pouvez accéder à des fonctionnalités de sécurité supplémentaires lorsque vous achetez .**GitHub Code Security**\n\n```\n GitHub Code Security inclut des fonctionnalités qui vous aident à trouver et corriger les vulnérabilités, telles que code scanningles fonctionnalités Premium Dependabot et la révision des dépendances.\n```\n\nCes fonctionnalités sont proposées pour l’ensemble des types de référentiels.\nCertaines de ces fonctionnalités sont disponibles gratuitement pour les référentiels publics, ce qui signifie que vous n’avez pas besoin d’acheter GitHub Code Security pour activer la fonctionnalité sur un référentiel public.\n\n\n\n### Code scanning\n\nDétectez automatiquement les vulnérabilités de sécurité et les erreurs de codage dans le code nouveau ou modifié. Les problèmes potentiels sont mis en surbrillance, avec des informations détaillées, ce qui vous permet de corriger le code avant qu’il ne soit fusionné dans votre branche par défaut. Pour plus d’informations, consultez « [À propos de l’analyse du code](/fr/enterprise-cloud@latest/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning) ».\n\nDisponible pour les référentiels publics par défaut.\n\n### CodeQL CLI\n\nExécutez des CodeQL processus localement sur des projets logiciels ou pour générer des code scanning résultats pour le chargement vers GitHub. Pour plus d’informations, consultez « [À propos de CodeQL CLI](/fr/enterprise-cloud@latest/code-security/codeql-cli/getting-started-with-the-codeql-cli/about-the-codeql-cli) ».\n\nDisponible pour les référentiels publics par défaut.\n\n### Copilot correction automatique\n\nObtenez des corrections générées automatiquement pour les alertes code scanning. Pour plus d’informations, consultez « [Utilisation responsable de l’Autofix Copilot pour l'analyse de code](/fr/enterprise-cloud@latest/code-security/code-scanning/managing-code-scanning-alerts/responsible-use-autofix-code-scanning) ».\n\nDisponible pour les référentiels publics par défaut.\n\n###\n\n```\n Règles de triage automatique personnalisées pour Dependabot\n```\n\nVous aide à gérer vos Dependabot alerts à grande échelle. Les Règles de triage automatique personnalisées permettent de contrôler les alertes ignorées et désactivées temporairement, ou de déclencher un correctif de sécurité Dependabot. Pour plus d’informations, consultez « [À propos des alertes Dependabot](/fr/enterprise-cloud@latest/code-security/dependabot/dependabot-alerts/about-dependabot-alerts) » et « [Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité](/fr/enterprise-cloud@latest/code-security/dependabot/dependabot-auto-triage-rules/customizing-auto-triage-rules-to-prioritize-dependabot-alerts) ».\n\n### Vérification des dépendances\n\nMontrez l’impact complet des modifications apportées aux dépendances et examinez les détails de toutes les versions vulnérables avant de fusionner une demande de tirage. Pour plus d’informations, consultez « [À propos de la vérification des dépendances](/fr/enterprise-cloud@latest/code-security/supply-chain-security/understanding-your-software-supply-chain/about-dependency-review) ».\n\nDisponible pour les référentiels publics par défaut.\n\n### Campagnes de sécurité\n\nCorrigez les alertes de sécurité à grande échelle en créant des campagnes de sécurité et en collaborant avec les développeurs pour réduire votre backlog de sécurité. Pour plus d’informations, consultez « [À propos des campagnes de sécurité](/fr/enterprise-cloud@latest/code-security/securing-your-organization/fixing-security-alerts-at-scale/about-security-campaigns) ».\n\n### Vue d’ensemble de la sécurité\n\nLa vue d’ensemble de la sécurité permet d’analyser le paysage global de la sécurité de votre organisation, d’examiner les tendances et autres informations clés, et de gérer les configurations de sécurité, facilitant ainsi la surveillance de l’état de sécurité et l’identification des référentiels et organisations les plus exposés. Pour plus d’informations, consultez « [À propos de la vue d’ensemble de la sécurité](/fr/enterprise-cloud@latest/code-security/security-overview/about-security-overview) ».\n\n## Tirer parti GitHub Copilot Chat pour comprendre les alertes de sécurité\n\nAvec une GitHub Copilot Enterprise licence, vous pouvez également demander à GitHub Copilot Chat de l’aide pour mieux comprendre les alertes de sécurité dans les référentiels de votre organisation à partir des fonctionnalités de GitHub Advanced Security (code scanning, secret scanning et Dependabot alerts). Pour plus d’informations, consultez « [Poser des questions à GitHub Copilot sur GitHub](/fr/enterprise-cloud@latest/copilot/using-github-copilot/asking-github-copilot-questions-in-githubcom#asking-questions-about-alerts-from-github-advanced-security-features) ».\n\n## Pour aller plus loin\n\n* ```\n [AUTOTITLE](/get-started/learning-about-github/githubs-plans)\n ```\n* ```\n [AUTOTITLE](/get-started/learning-about-github/about-github-advanced-security)\n ```\n* ```\n [AUTOTITLE](/get-started/learning-about-github/github-language-support)\n ```"}