Code security guides
Learn about the different ways that GitHub can help you improve your code's security.
Fix and disclose a security vulnerability
Using repository security advisories to privately fix a reported vulnerability and get a CVE.Start learning path- 1Overview
À propos de la divulgation coordonnée des vulnérabilités de sécurité
La divulgation des vulnérabilités est un effort coordonné entre les rapporteurs de sécurité et les personnes chargées de la maintenance des dépôts. - 2Overview
À propos de la base de données GitHub Advisory
La GitHub Advisory Database contient une liste de vulnérabilités de sécurité et de programmes malveillants connus, regroupés en deux catégories : avis révisés par GitHub et avis non révisés. - 3Overview
À propos des avis de sécurité globaux
Les conseils sécurité globale résident dans le GitHub Advisory Database, une collection de CVE et d’avis GitHub affectant le monde open source. Vous pouvez contribuer à améliorer les avis de sécurité globaux. - 4Overview
À propos des avis de sécurité des référentiels
Vous pouvez utiliser des avis de sécurité des référentiels pour discuter des vulnérabilités de sécurité dans votre référentiel, les corriger et publier des informations en privé. - 5How-to guide
Best practices for writing repository security advisories
When you create or edit security advisories, the information you provide is easier for other users to understand when you specify the ecosystem, package name, and affected versions using the standard formats. - 6How-to guide
Signalement privé d’une vulnérabilité de sécurité
Certains dépôts publics configurent des avis de sécurité afin que tout le monde puisse signaler les failles de sécurité directement et en privé aux chargés de maintenance. - 7How-to guide
Gestion des vulnérabilités de sécurité signalées en privé
Les chargés de maintenance de dépôt peuvent gérer les vulnérabilités de sécurité qui leur ont été signalées en privé par des chercheurs en sécurité pour les dépôts où la création de rapports de vulnérabilités privés est activée. - 8How-to guide
Configuration de rapports de vulnérabilité privés pour un dépôt
Les propriétaires et administrateurs de dépôts publics peuvent permettre aux chercheurs en sécurité de signaler des vulnérabilités de façon sécurisée dans le dépôt en activant les rapports de vulnérabilité privés. - 9How-to guide
Configuring private vulnerability reporting for an organization
Organization owners and security managers can allow security researchers to report vulnerabilities securely in repositories within the organization by enabling private vulnerability reporting for all its public repositories. - 10How-to guide
Création d’un avis de sécurité de dépôt
Vous pouvez créer un brouillon d’avis de sécurité pour discuter en privé et corriger une vulnérabilité de sécurité dans votre projet open source. - 11How-to guide
Adding a collaborator to a repository security advisory
You can add other users or teams to collaborate on a security advisory with you. - 12How-to guide
Collaboration dans une duplication (fork) privée temporaire pour résoudre une vulnérabilité de sécurité de dépôt
Vous pouvez créer une duplication (fork) privée temporaire pour collaborer en privé pour résoudre une vulnérabilité de sécurité dans votre dépôt. - 13How-to guide
Publishing a repository security advisory
You can publish a security advisory to alert your community about a security vulnerability in your project. - 14How-to guide
Modification d’un avis de sécurité de dépôt
Vous pouvez modifier les métadonnées et la description d’un avis de sécurité de dépôt si vous devez mettre à jour les détails ou corriger les erreurs. - 15How-to guide
Retrait d’un avis de sécurité de dépôt
Vous pouvez retirer un avis de sécurité de dépôt que vous avez publié. - 16How-to guide
Suppression d’un collaborateur d’un avis de sécurité de dépôt
Lorsque vous supprimez un collaborateur d’un avis de sécurité de dépôt, il perd l’accès en lecture et écriture à la discussion et aux métadonnées de l’avis de sécurité.
Code security learning paths
Get notifications for insecure dependencies
Set up Dependabot to alert you to new vulnerabilities or malware in your dependencies.
Get pull requests to update your vulnerable dependencies
Set up Dependabot to create pull requests when new vulnerabilities are reported.
Keep your dependencies up-to-date
Use Dependabot to check for new releases and create pull requests to update your dependencies.
Scan for secrets
Set up secret scanning to guard against accidental check-ins of tokens, passwords, and other secrets to your repository.
Run code scanning with GitHub Actions
Check your default branch and every pull request to keep vulnerabilities and errors out of your repository.
Run CodeQL code scanning in your CI
Set up CodeQL within your existing CI and upload results to GitHub code scanning.
Integrate with code scanning
Upload code analysis results from third-party systems to GitHub using SARIF.
End-to-end supply chain
How to think about securing your user accounts, your code, and your build process.
All Code security guides
Adding a security policy to your repository
How-to guideYou can give instructions for how to report a security vulnerability in your project by adding a security policy to your repository.
- Security policies
- Vulnerabilities
- Repositories
- Health
Fonctionnalités de sécurité de GitHub
OverviewVue d’ensemble des fonctionnalités de sécurité de GitHub.
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
Sécurisation de votre organisation
How-to guideVous pouvez utiliser un certain nombre de fonctionnalités GitHub pour sécuriser votre organisation.
- Organizations
- Dependencies
- Vulnerabilities
- Advanced Security
Sécurisation de votre dépôt
How-to guideVous pouvez utiliser un certain nombre de fonctionnalités GitHub pour sécuriser votre référentiel.
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
About secret scanning
OverviewGitHub scans repositories for known types of secrets, to prevent fraudulent use of secrets that were committed accidentally.
- Secret scanning
- Advanced Security
Configuration de l’analyse des secrets pour vos dépôts
How-to guideVous pouvez configurer la façon dont GitHub recherche dans vos dépôts des secrets divulgués et génère des alertes.
- Secret scanning
- Advanced Security
- Repositories
Définition de modèles personnalisés pour l’analyse des secrets
How-to guideVous pouvez étendre l’secret scanning pour détecter les secrets au-delà des modèles par défaut.
- Advanced Security
- Secret scanning
Gestion des alertes à partir de l’analyse des secrets
How-to guideVous pouvez afficher et fermer les alertes pour les secrets archivés dans votre référentiel.
- Secret scanning
- Advanced Security
- Alerts
- Repositories
Protection des poussées (push) avec l’analyse des secrets
How-to guideVous pouvez utiliser l’secret scanning pour empêcher les secrets pris en charge d’être poussés dans votre organisation ou dépôt en activant la protection des poussées.
- Secret scanning
- Advanced Security
- Alerts
- Repositories