Création d’une configuration de sécurité personnalisée

Créez un custom security configuration pour répondre aux besoins de sécurité spécifiques des référentiels de votre organisation.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de l’organisation, gestionnaires de sécurité et membres de l’organisation avec le rôle d’administrateur

Dans cet article

À propos de custom security configurations

Avec custom security configurations, vous pouvez créer des regroupements de paramètres d’activation pour GitHubles produits de sécurité de l’organisation afin de répondre aux besoins de sécurité spécifiques de votre organisation. Par exemple, vous pouvez créer une différence custom security configuration pour chaque organisation ou groupe d’organisations afin de refléter leurs exigences de sécurité uniques et leurs obligations de conformité.

Vous pouvez également choisir si vous souhaitez inclure ou non les fonctionnalités GitHub Code Security ou GitHub Secret Protection dans une configuration.

Si vous le faites, gardez à l’esprit que ces fonctionnalités entraînent des coûts d’utilisation (ou nécessitent GitHub Advanced Security des licences) lorsqu’elles sont appliquées à des référentiels privés et internes. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

          >[!IMPORTANT]
          > L’ordre et les noms de certains paramètres diffèrent selon que vous utilisez des licences pour le produit d’origine GitHub Advanced Security ou pour les deux nouveaux produits : GitHub Code Security et GitHub Secret Protection. Consultez [Création d’une GitHub Advanced Security configuration](#creating-a-github-advanced-security-configuration) ou [création d’une Secret Protection and Code Security configuration](#creating-a-secret-protection-and-code-security-configuration).

Création d’une Secret Protection and Code Security configuration

  1. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil, puis sur Vos organisations.

  2. Sous le nom de votre organisation, cliquez sur Settings. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran des onglets dans le profil d’une organisation. L’onglet « Paramètres » est présenté en orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, sélectionnez le Advanced Security menu déroulant, puis cliquez sur Configurations.

  4. Dans la section «Security configurations », cliquez sur Nouvelle configuration.

  5. Pour configurer des groupes de fonctionnalités de sécurité pour vos référentiels, cliquez sur Configuration personnalisée.

  6. Pour vous aider à identifier votre configuration custom security configuration et à clarifier son but sur la page «Security configurations», nommez votre configuration et créez une description.

  7. Si vous le souhaitez, activez «Secret Protection », une fonctionnalité payante pour les référentiels privés . L’activation Secret Protection active les alertes pour secret scanning. En outre, vous pouvez choisir d’activer, de désactiver ou de conserver les paramètres existants pour les fonctionnalités suivantes secret scanning : * Contrôles de validité. Pour en savoir plus sur les vérifications de validité pour les modèles de partenaires, consultez Évaluation des alertes à partir de l’analyse des secrets. * Métadonnées étendues. Pour en savoir plus sur les vérifications de métadonnées étendues, consultez À propos des vérifications de métadonnées étendues et Évaluation des alertes à partir de l’analyse des secrets.

    Remarque

    Vous ne pouvez activer que les vérifications de métadonnées étendues si les vérifications de validité sont activées.

    •     **Modèles non fournisseurs**. Pour en savoir plus sur l’analyse des modèles non fournisseurs, consultez [AUTOTITLE](/code-security/secret-scanning/introduction/supported-secret-scanning-patterns#non-provider-patterns) et [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning/viewing-alerts).

    •     **Analyser les mots de passe génériques**. Pour en savoir plus, consultez [AUTOTITLE](/code-security/secret-scanning/copilot-secret-scanning/responsible-ai-generic-secrets).

    •     **Protection push**. Pour en savoir plus sur la protection push, consultez [AUTOTITLE](/code-security/secret-scanning/introduction/about-push-protection).

    •     **Privilèges de contournement**. En affectant des privilèges de contournement ou des exemptions, les acteurs sélectionnés peuvent ignorer ou ignorer la protection Push. Il existe un processus d’examen et d’approbation pour tous les autres contributeurs. Voir [AUTOTITLE](/code-security/secret-scanning/using-advanced-secret-scanning-and-push-protection-features/delegated-bypass-for-push-protection/about-delegated-bypass-for-push-protection).

    •     **Empêcher les rejets d’alerte directs**. Pour en savoir plus, consultez [AUTOTITLE](/code-security/secret-scanning/using-advanced-secret-scanning-and-push-protection-features/enabling-delegated-alert-dismissal-for-secret-scanning).

  8. Si vous le souhaitez, activez «Code Security », une fonctionnalité payante pour les référentiels privés . Vous pouvez choisir d’activer, de désactiver ou de conserver les paramètres existants pour les fonctionnalités suivantes code scanning : * Configuration par défaut. Pour en savoir plus sur la configuration par défaut, consultez Définition de la configuration par défaut pour l’analyse du code.

Remarque

Pour créer une configuration que vous pouvez appliquer à tous les référentiels, quelle que soit la configuration actuelle code scanning, sélectionnez « Activé avec configuration avancée autorisée ». Ce paramètre active la configuration par défaut uniquement dans les référentiels où l'analyse CodeQL n'est pas activement exécutée. Option disponible à partir de GitHub Enterprise Server 3.19.

  •      **Type d’exécuteur**. Si vous souhaitez cibler des exécuteurs spécifiques pour code scanning, vous pouvez choisir d’utiliser des exécuteurs étiquetés personnalisés à cette étape. Voir [AUTOTITLE](/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning#assigning-labels-to-runners). 

* 

          **Empêcher les rejets d’alerte directs**. Pour en savoir plus, consultez [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/enabling-delegated-alert-dismissal-for-code-scanning).

  1. Toujours sous «Code Security », dans la table « Analyse des dépendances », choisissez si vous souhaitez activer, désactiver ou conserver les paramètres existants pour les fonctionnalités d’analyse des dépendances suivantes : * Graphique des dépendances. Pour en savoir plus sur le graphique des dépendances, consultez À propos du graphe de dépendances.

    Conseil

    Lorsque les graphiques «Code Security » et Dépendance sont activés, cela active la révision des dépendances, consultez À propos de la vérification des dépendances.

    •      **Envoi automatique des dépendances**. Pour en savoir plus sur la soumission automatique de dépendances, consultez [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-automatic-dependency-submission-for-your-repository).

    •      **
     Dependabot alertes**. Pour en savoir Dependabotplus, consultez [AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts).

    •      **Mises à jour de sécurité**. Pour en savoir plus sur les mises à jour de sécurité, consultez [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates).

    •      **Empêcher les rejets d’alerte directs**. Pour en savoir plus, consultez [AUTOTITLE](/code-security/dependabot/dependabot-alerts/enable-delegated-alert-dismissal).

    •      **
     Malware alerts
     **. Pour en savoir plus, consultez [AUTOTITLE](/code-security/concepts/supply-chain-security/dependabot-malware-alerts).

  2. Pour « Signalement privé des vulnérabilités », indiquez si vous souhaitez activer, désactiver ou conserver les paramètres existants. Pour en savoir plus sur les rapports de vulnérabilité privés, consultez Configuration de rapports de vulnérabilité privés pour un dépôt.

  3. Dans la section « Stratégie », vous pouvez également contrôler la manière dont la configuration est appliquée à l’aide d’options supplémentaires : * Utiliser comme valeur par défaut pour les dépôts venant d’être créés. Sélectionnez le menu déroulant Aucun , puis cliquez sur Public, Privé et Interne ou Tous les référentiels.

    Remarque

    La security configuration par défaut d’une organisation est uniquement appliquée automatiquement aux nouveaux référentiels créés dans votre organisation. Si un référentiel est transféré dans votre organisation, vous devez toujours appliquer manuellement une security configuration au référentiel.

    •      **Appliquer la configuration**. Empêchez les propriétaires de dépôts de blocs de modifier les fonctionnalités activées ou désactivées par la configuration. (Les fonctionnalités non définies ne sont pas appliquées.) Sélectionnez **Appliquer** dans le menu déroulant.

    Remarque

    Certaines situations peuvent perturber l’application des security configurations. Consultez « Mise en œuvre de la configuration de sécurité ».

  4. Pour terminer la création de votre custom security configuration, cliquez sur Enregistrer la configuration.

Création d’une GitHub Advanced Security configuration

  1. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil, puis sur Vos organisations.

  2. Sous le nom de votre organisation, cliquez sur Settings. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran des onglets dans le profil d’une organisation. L’onglet « Paramètres » est présenté en orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, sélectionnez le Advanced Security menu déroulant, puis cliquez sur Configurations.

  4. Dans la section « Configurations de sécurité », cliquez sur Nouvelle configuration.

  5. Pour vous aider à identifier votre custom security configuration et clarifier son objectif sur la page « Nouvelle configuration », nommez votre configuration et créez une description.

  6. Dans la ligne « GitHub Advanced Security caractéristiques », choisissez d'inclure ou d'exclure GitHub Advanced Security (GHAS).

  7. Dans le tableau «Secret scanning », choisissez si vous souhaitez activer, désactiver ou conserver les paramètres existants pour les fonctionnalités de sécurité suivantes : * Contrôles de validité. Pour en savoir plus sur les vérifications de validité pour les modèles de partenaires, consultez Évaluation des alertes à partir de l’analyse des secrets. * Modèles non fournisseurs. Pour en savoir plus sur l’analyse des modèles non fournisseurs, consultez Modèles de détection de secrets pris en charge et Affichage et filtrage des alertes à partir de l’analyse des secrets. * Analyser les mots de passe génériques. Pour en savoir plus, consultez Détection responsable des secrets génériques avec l'analyse des secrets par Copilot. * Protection push. Pour en savoir plus sur la protection push, consultez À propos de la protection lors du push. * Privilèges de contournement. En affectant des privilèges de contournement ou des exemptions, les acteurs sélectionnés peuvent ignorer ou ignorer la protection Push. Il existe un processus d’examen et d’approbation pour tous les autres contributeurs. Voir À propos du contournement délégué pour la protection push. * Empêcher les rejets d’alerte directs. Pour en savoir plus, consultez Activation du rejet d’alerte délégué pour l’analyse des secrets.

  8. Dans la table «Code scanning », choisissez si vous souhaitez activer, désactiver ou conserver les paramètres existants pour code scanning la configuration par défaut. * Configuration par défaut. Pour en savoir plus sur la configuration par défaut, consultez Définition de la configuration par défaut pour l’analyse du code.

Remarque

Pour créer une configuration que vous pouvez appliquer à tous les référentiels, quelle que soit la configuration actuelle code scanning, sélectionnez « Activé avec configuration avancée autorisée ». Ce paramètre active la configuration par défaut uniquement dans les référentiels où l'analyse CodeQL n'est pas activement exécutée. Option disponible à partir de GitHub Enterprise Server 3.19.

  •      **Type d’exécuteur**. Si vous souhaitez cibler des exécuteurs spécifiques pour code scanning, vous pouvez choisir d’utiliser des exécuteurs étiquetés personnalisés à cette étape. Voir [AUTOTITLE](/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning#assigning-labels-to-runners). 

* 

          **Empêcher les rejets d’alerte directs**. Pour en savoir plus, consultez [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/enabling-delegated-alert-dismissal-for-code-scanning).

  1. Dans la table « Analyse des dépendances », indiquez si vous souhaitez activer, désactiver ou conserver les paramètres existants pour les fonctionnalités d’analyse des dépendances suivantes : * Graphique des dépendances. Pour en savoir plus sur le graphique des dépendances, consultez À propos du graphe de dépendances.

    Conseil

    Lorsque les graphiques «GitHub Advanced Security » et Dépendance sont activés, cela active la révision des dépendances, consultez À propos de la vérification des dépendances.

    •      **Envoi automatique des dépendances**. Pour en savoir plus sur la soumission automatique de dépendances, consultez [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-automatic-dependency-submission-for-your-repository).

    •      **
     Dependabot alertes**. Pour en savoir Dependabotplus, consultez [AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts).

    •      **Mises à jour de sécurité**. Pour en savoir plus sur les mises à jour de sécurité, consultez [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates).

    •      **Empêcher les rejets d’alerte directs**. Pour en savoir plus, consultez [AUTOTITLE](/code-security/dependabot/dependabot-alerts/enable-delegated-alert-dismissal).

    •      **
     Malware alerts
     **. Pour en savoir plus, consultez [AUTOTITLE](/code-security/concepts/supply-chain-security/dependabot-malware-alerts).

  2. Pour « Signalement privé des vulnérabilités », indiquez si vous souhaitez activer, désactiver ou conserver les paramètres existants. Pour en savoir plus sur les rapports de vulnérabilité privés, consultez Configuration de rapports de vulnérabilité privés pour un dépôt.

  3. Dans la section « Stratégie », vous pouvez également contrôler la manière dont la configuration est appliquée à l’aide d’options supplémentaires : * Utiliser comme valeur par défaut pour les dépôts venant d’être créés. Sélectionnez le menu déroulant Aucun , puis cliquez sur Public, Privé et Interne ou Tous les référentiels.

    Remarque

    La security configuration par défaut d’une organisation est uniquement appliquée automatiquement aux nouveaux référentiels créés dans votre organisation. Si un référentiel est transféré dans votre organisation, vous devez toujours appliquer manuellement une security configuration au référentiel.

    •      **Appliquer la configuration**. Empêchez les propriétaires de dépôts de blocs de modifier les fonctionnalités activées ou désactivées par la configuration. (Les fonctionnalités non définies ne sont pas appliquées.) Sélectionnez **Appliquer** dans le menu déroulant.

  4. Pour terminer la création de votre custom security configuration, cliquez sur Enregistrer la configuration.

Étapes suivantes

Pour appliquer votre custom security configuration aux dépôts de votre organisation, consultez Application d’une configuration de sécurité personnalisée.

Pour savoir comment modifier votre custom security configuration, consultez Modification d’une configuration de sécurité personnalisée.