Code security guides

Découvrez les différentes façons dont GitHub peut vous aider à améliorer la sécurité de votre code.

Fix and disclose a security vulnerability
Using repository security advisories to privately fix a reported vulnerability and get a CVE.
Start learning path
1
Overview
À propos de la divulgation coordonnée des vulnérabilités de sécurité
La divulgation des vulnérabilités est un effort coordonné entre les rapporteurs de sécurité et les personnes chargées de la maintenance des dépôts.
2
Overview
About the GitHub Advisory database
The GitHub Advisory Database contains a list of known security vulnerabilities and malware, grouped in two categories: GitHub-reviewed advisories and unreviewed advisories.
3
Overview
À propos des avis de sécurité globaux
La base de données de sécurité globale réside dans le GitHub Advisory Database, qui contient des CVE et des avis de sécurité GitHub affectant le monde open source. Vous pouvez contribuer à améliorer les avis globaux.
4
Overview
À propos des avis de sécurité des référentiels
Vous pouvez utiliser des avis de sécurité des référentiels pour discuter des vulnérabilités de sécurité dans votre référentiel, les corriger et publier des informations en privé.
5
How-to guide
Meilleures pratiques pour l’écriture des avis de sécurité de référentiels
Quand vous créez ou modifiez des avis de sécurité, les informations fournies sont mieux compréhensibles pour les autres utilisateurs si vous spécifiez l’écosystème, le nom du package et les versions affectées en utilisant les formats standard.
6
How-to guide
Signalement privé d’une vulnérabilité de sécurité
Certains dépôts publics configurent des avis de sécurité afin que tout le monde puisse signaler les failles de sécurité directement et en privé aux chargés de maintenance.
7
How-to guide
Gestion des vulnérabilités de sécurité signalées en privé
Les chargés de maintenance de dépôt peuvent gérer les vulnérabilités de sécurité qui leur ont été signalées en privé par des chercheurs en sécurité pour les dépôts où la création de rapports de vulnérabilités privés est activée.
8
How-to guide
Configuring private vulnerability reporting for a repository
Owners and administrators of public repositories can allow security researchers to report vulnerabilities securely in the repository by enabling private vulnerability reporting.
9
How-to guide
Création d’un avis de sécurité de dépôt
Vous pouvez créer un brouillon d’avis de sécurité pour discuter en privé et corriger une vulnérabilité de sécurité dans votre projet open source.
10
How-to guide
Ajout d’un collaborateur à un avis de sécurité de dépôt
Vous pouvez ajouter d’autres utilisateurs ou équipes pour collaborer sur un avis de sécurité avec vous.
11
How-to guide
Collaboration dans une duplication (fork) privée temporaire pour résoudre une vulnérabilité de sécurité de dépôt
Vous pouvez créer une duplication (fork) privée temporaire pour collaborer en privé pour résoudre une vulnérabilité de sécurité dans votre dépôt.
12
How-to guide
Publication d’un avis de sécurité de dépôt
Vous pouvez publier un avis de sécurité pour alerter votre communauté sur une vulnérabilité de sécurité dans votre projet.
13
How-to guide
Modification d’un avis de sécurité de dépôt
Vous pouvez modifier les métadonnées et la description d’un avis de sécurité de dépôt si vous devez mettre à jour les détails ou corriger les erreurs.
14
How-to guide
Retrait d’un avis de sécurité de dépôt
Vous pouvez retirer un avis de sécurité de dépôt que vous avez publié.
15
How-to guide
Suppression d’un collaborateur d’un avis de sécurité de dépôt
Lorsque vous supprimez un collaborateur d’un avis de sécurité de dépôt, il perd l’accès en lecture et écriture à la discussion et aux métadonnées de l’avis de sécurité.

Code security learning paths

Learning paths are a collection of guides that help you master a particular subject.

Get notifications for insecure dependencies

Set up Dependabot to alert you to new vulnerabilities or malware in your dependencies.

Start learning path

Get pull requests to update your vulnerable dependencies

Set up Dependabot to create pull requests when new vulnerabilities are reported.

Start learning path

Keep your dependencies up-to-date

Use Dependabot to check for new releases and create pull requests to update your dependencies.

Start learning path

Run code scanning with GitHub Actions

Check your default branch and every pull request to keep vulnerabilities and errors out of your repository.

Start learning path

Run CodeQL code scanning in your CI

Set up CodeQL within your existing CI and upload results to GitHub code scanning.

Start learning path

Integrate with code scanning

Upload code analysis results from third-party systems to GitHub using SARIF.

Start learning path

End-to-end supply chain

How to think about securing your user accounts, your code, and your build process.

Start learning path

All Code security guides

Filter the guide list using these controls

72 guides found

Fix and disclose a security vulnerability

À propos de la divulgation coordonnée des vulnérabilités de sécurité

About the GitHub Advisory database

À propos des avis de sécurité globaux

À propos des avis de sécurité des référentiels

Meilleures pratiques pour l’écriture des avis de sécurité de référentiels

Signalement privé d’une vulnérabilité de sécurité

Gestion des vulnérabilités de sécurité signalées en privé

Configuring private vulnerability reporting for a repository

Création d’un avis de sécurité de dépôt

Ajout d’un collaborateur à un avis de sécurité de dépôt

Collaboration dans une duplication (fork) privée temporaire pour résoudre une vulnérabilité de sécurité de dépôt

Publication d’un avis de sécurité de dépôt

Modification d’un avis de sécurité de dépôt

Retrait d’un avis de sécurité de dépôt

Suppression d’un collaborateur d’un avis de sécurité de dépôt

À propos des alertes Dependabot

Managing security and analysis settings for your repository

Viewing and updating Dependabot alerts

Configuring notifications for Dependabot alerts

About Dependabot security updates

Configuring Dependabot security updates

Configuring notifications for Dependabot alerts

Managing security and analysis settings for your repository

About Dependabot version updates

Configuring Dependabot version updates

Customizing dependency updates

Configuration options for the dependabot.yml file

À propos de l’analyse du code

Setting up code scanning for a repository

Configuring code scanning

Configuration du workflow CodeQL pour les langages compilés

About CodeQL code scanning in your CI system

Installing CodeQL CLI in your CI system

Configuring CodeQL CLI in your CI system

Migrating from the CodeQL runner to CodeQL CLI

About integration with code scanning

Chargement d’un fichier SARIF sur GitHub

Prise en charge de SARIF pour l’analyse du code

Analyse du code

Sécurisation de votre chaîne d’approvisionnement de bout en bout

Best practices for securing accounts

Best practices for securing code in your supply chain

Bonnes pratiques pour sécuriser votre système de génération

Adding a security policy to your repository

GitHub security features

Securing your organization

Securing your repository

About secret scanning

Configuring secret scanning for your repositories

Defining custom patterns for secret scanning

Managing alerts from secret scanning

Protecting pushes with secret scanning