Code security guides
Découvrez les différentes façons dont GitHub peut vous aider à améliorer la sécurité de votre code.
Corriger et divulguer une vulnérabilité de sécurité
Utilisation des avis de sécurité de référentiel pour corriger en privé une vulnérabilité signalée et obtenir une CVE.Start learning path- 1Overview
À propos de la divulgation coordonnée des vulnérabilités de sécurité
La divulgation des vulnérabilités est un effort coordonné entre les rapporteurs de sécurité et les personnes chargées de la maintenance des dépôts. - 2Overview
À propos de la base de données GitHub Advisory
La GitHub Advisory Database contient une liste de vulnérabilités de sécurité et de programmes malveillants connus, regroupés en deux catégories : avis révisés par GitHub et avis non révisés. - 3Overview
À propos des avis de sécurité globaux
Les conseils sécurité globale résident dans le GitHub Advisory Database, une collection de CVE et d’avis GitHub affectant le monde open source. Vous pouvez contribuer à améliorer les avis de sécurité globaux. - 4Overview
À propos des avis de sécurité des référentiels
Vous pouvez utiliser des avis de sécurité des référentiels pour discuter des vulnérabilités de sécurité dans votre référentiel, les corriger et publier des informations en privé. - 5How-to guide
Best practices for writing repository security advisories
When you create or edit security advisories, the information you provide is easier for other users to understand when you specify the ecosystem, package name, and affected versions using the standard formats. - 6How-to guide
Signalement privé d’une vulnérabilité de sécurité
Certains dépôts publics configurent des avis de sécurité afin que tout le monde puisse signaler les failles de sécurité directement et en privé aux chargés de maintenance. - 7How-to guide
Gestion des vulnérabilités de sécurité signalées en privé
Les chargés de maintenance de dépôt peuvent gérer les vulnérabilités de sécurité qui leur ont été signalées en privé par des chercheurs en sécurité pour les dépôts où la création de rapports de vulnérabilités privés est activée. - 8How-to guide
Configuration de rapports de vulnérabilité privés pour un dépôt
Les propriétaires et administrateurs de dépôts publics peuvent permettre aux chercheurs en sécurité de signaler des vulnérabilités de façon sécurisée dans le dépôt en activant les rapports de vulnérabilité privés. - 9How-to guide
Configuring private vulnerability reporting for an organization
Organization owners and security managers can allow security researchers to report vulnerabilities securely in repositories within the organization by enabling private vulnerability reporting for all its public repositories. - 10How-to guide
Création d’un avis de sécurité de dépôt
Vous pouvez créer un brouillon d’avis de sécurité pour discuter en privé et corriger une vulnérabilité de sécurité dans votre projet open source. - 11How-to guide
Adding a collaborator to a repository security advisory
You can add other users or teams to collaborate on a security advisory with you. - 12How-to guide
Collaboration dans une duplication (fork) privée temporaire pour résoudre une vulnérabilité de sécurité de dépôt
Vous pouvez créer une duplication (fork) privée temporaire pour collaborer en privé pour résoudre une vulnérabilité de sécurité dans votre dépôt. - 13How-to guide
Publishing a repository security advisory
You can publish a security advisory to alert your community about a security vulnerability in your project. - 14How-to guide
Modification d’un avis de sécurité de dépôt
Vous pouvez modifier les métadonnées et la description d’un avis de sécurité de dépôt si vous devez mettre à jour les détails ou corriger les erreurs. - 15How-to guide
Retrait d’un avis de sécurité de dépôt
Vous pouvez retirer un avis de sécurité de dépôt que vous avez publié. - 16How-to guide
Suppression d’un collaborateur d’un avis de sécurité de dépôt
Lorsque vous supprimez un collaborateur d’un avis de sécurité de dépôt, il perd l’accès en lecture et écriture à la discussion et aux métadonnées de l’avis de sécurité.
Code security learning paths
Obtenir des notifications pour les dépendances non sécurisées
Configurez Dependabot pour qu’il vous alerte des nouvelles vulnérabilités ou des programmes malveillants dans vos dépendances.
Obtenir des demandes de tirage pour mettre à jour vos dépendances vulnérables
Configurez Dependabot pour créer des demandes de tirage lorsque de nouvelles vulnérabilités sont signalées.
Maintenir vos dépendances à jour
Utilisez Dependabot pour rechercher de nouvelles versions et créer des demandes de tirage pour mettre à jour vos dépendances.
Rechercher des secrets
Configurez l’analyse des secrets pour vous protéger contre les archivages accidentels de jetons, de mots de passe et d’autres secrets dans votre référentiel.
Exécuter l’analyse du code avec GitHub Actions
Vérifiez votre branche par défaut et chaque demande de tirage pour maintenir les vulnérabilités et erreurs hors de votre référentiel.
Exécuter l’analyse du code CodeQL dans votre CI
Configurez CodeQL dans votre CI existant et chargez les résultats dans l’analyse du code GitHub.
Intégrer à l’analyse du code
Chargez les résultats de l’analyse du code à partir de systèmes tiers pour GitHub à l’aide de SARIF.
Chaîne d’approvisionnement de bout en bout
Comment envisager la sécurisation de vos comptes d’utilisateur, de votre code et de votre processus de génération.
All Code security guides
Adding a security policy to your repository
How-to guideYou can give instructions for how to report a security vulnerability in your project by adding a security policy to your repository.
- Security policies
- Vulnerabilities
- Repositories
- Health
Fonctionnalités de sécurité de GitHub
OverviewVue d’ensemble des fonctionnalités de sécurité de GitHub.
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
Sécurisation de votre organisation
How-to guideVous pouvez utiliser un certain nombre de fonctionnalités GitHub pour sécuriser votre organisation.
- Organizations
- Dependencies
- Vulnerabilities
- Advanced Security
Sécurisation de votre dépôt
How-to guideVous pouvez utiliser un certain nombre de fonctionnalités GitHub pour sécuriser votre référentiel.
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
Auditing security alerts
OverviewGitHub provides a variety of tools you can use to audit and monitor actions taken in response to security alerts.
- Repositories
- Dependencies
- Vulnerabilities
- Security
- Advanced Security
À propos de l’analyse des secrets
OverviewGitHub analyse les types de secrets connus dans les dépôts pour éviter une utilisation frauduleuse des secrets validés accidentellement.
- Secret scanning
- Advanced Security
- How-to guide
Activation de alertes d’analyse des secrets pour les utilisateurs
- Secret scanning
- Advanced Security
- Repositories
Définition de modèles personnalisés pour l’analyse des secrets
How-to guideVous pouvez étendre l’secret scanning pour détecter les secrets au-delà des modèles par défaut.
- Advanced Security
- Secret scanning
Gestion des alertes à partir de l’analyse des secrets
How-to guideVous pouvez afficher et fermer les alertes pour les secrets archivés dans votre référentiel.
- Secret scanning
- Advanced Security
- Alerts
- Repositories