Évaluation de l’adoption des fonctionnalités de sécurité

Découvrez quelles équipes et référentiels ont déjà activé les fonctionnalités de codage sécurisé et identifiez les éléments qui ne sont pas encore protégés.

Qui peut utiliser cette fonctionnalité ?

L’accès nécessite :

  • Vues de l’organisation : accès en écriture aux référentiels de l’organisation
  • Vues d’entreprise : propriétaires et responsables de la sécurité de l’organisation

Dans cet article

Vous pouvez utiliser la vue d’ensemble de la sécurité pour voir quels dépôts et quelles équipes ont déjà activé chaque fonctionnalité de sécurité, et identifier où les utilisateurs doivent être davantage incités à adopter ces fonctionnalités.

Capture d’écran de la section d’en-tête de la vue « Couverture de sécurité » sous l’onglet « Sécurité » d’une organisation.

Remarque

Les « alertes de demande de tirage » sont signalées comme activées uniquement lorsque code scanning a analysé au moins une demande de tirage depuis l’activation des alertes pour le dépôt.

Affichage de l’activation des fonctionnalités de sécurité pour une organisation

Vous pouvez afficher les données permettant d’évaluer l’activation des fonctionnalités de codage sécurisé dans l’ensemble des dépôts d’une organisation.

  1. Sur GitHub, accédez à la page principale de l’organisation.

  2. Sous le nom de votre organisation, cliquez sur Securité.

    Capture d’écran de la barre de navigation horizontale d’une organisation. Un onglet, avec une icône de bouclier et le texte « Sécurité », est mis en évidence avec un encadré orange foncé.

  3. Pour afficher la vue « Couverture de la sécurité », dans la barre latérale, cliquez sur Couverture.

Dans la liste des dépôts, une étiquette « Suspendu » sous Dependabot indique les dépôts pour lesquels les Dependabot updates sont suspendues. Pour plus d’informations sur les critères d’inactivité, consultez AUTOTITLE et AUTOTITLE, pour les mises à jour de sécurité et de version, respectivement.

Affichage de l’activation des fonctionnalités de codage sécurisé dans une entreprise

Vous pouvez afficher les données permettant d’évaluer l’activation des fonctionnalités de sécurité dans l’ensemble des organisations d’une entreprise.

  1. Dans le coin supérieur droit de GitHub Enterprise Server, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.

  2. Pour afficher la vue « Couverture de la sécurité », dans la barre latérale, cliquez sur Couverture.

Vous pouvez afficher les données permettant d’évaluer l’état d’activation des fonctionnalités de sécurité pour une organisation, ainsi que l’évolution de cet état.

  1. Sur GitHub, accédez à la page principale de l’organisation.

  2. Sous le nom de votre organisation, cliquez sur Securité.

    Capture d’écran de la barre de navigation horizontale d’une organisation. Un onglet, avec une icône de bouclier et le texte « Sécurité », est mis en évidence avec un encadré orange foncé.

  3. Dans la barre latérale, sous « Mesures », cliquez sur Tendances d’activation.

  4. Cliquez sur l’un des onglets pour « Dependabot », « Code scanning » ou « Secret scanning » afin d’afficher les tendances d’activation et le pourcentage de dépôts avec cette fonctionnalité activée dans votre organisation. Ces données sont affichées sous la forme d’un graphique et d’un tableau détaillé.

  5. Vous pouvez également utiliser les options en haut de la page « Tendances d’activation » afin de filtrer le groupe de dépôts pour lequel vous souhaitez voir les tendances d’activation.

    • Utilisez le sélecteur de date pour définir l’intervalle de temps pour lequel vous souhaitez afficher les tendances d’activation.

    • Cliquez dans la zone de recherche pour ajouter des filtres supplémentaires aux tendances d’activation affichées. Les filtres que vous pouvez appliquer sont les mêmes que ceux de la vue de tableau de bord « Vue d’ensemble ». Pour plus d’informations, consultez « AUTOTITLE ».

      Capture d’écran de la vue « Tendances d’activation » pour une organisation, montrant l’état et les tendances de Dependabot sur 30 jours, avec un filtre appliqué.

Vous pouvez afficher les données permettant d’évaluer l’état d’activation des fonctionnalités de sécurité dans l’ensemble des organisations d’une entreprise, ainsi que l’évolution de cet état au fil du temps.

  1. Dans le coin supérieur droit de GitHub Enterprise Server, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.
  2. Pour afficher la vue « Tendances d’activation », dans la barre latérale, cliquez sur Tendances d’activation.
  3. Cliquez sur l’un des onglets pour « Dependabot », « Code scanning » ou « Secret scanning » afin d’afficher les tendances d’activation et le pourcentage de dépôts avec cette fonctionnalité activée dans l’ensemble des organisations de votre entreprise. Ces données sont affichées sous la forme d’un graphique et d’un tableau détaillé.
  4. Vous pouvez également utiliser les options en haut de la page « Tendances d’activation » afin de filtrer le groupe de dépôts pour lequel vous souhaitez voir les tendances d’activation.
    • Utilisez le sélecteur de date pour définir l’intervalle de temps pour lequel vous souhaitez afficher les tendances d’activation.
    • Cliquez dans la zone de recherche pour ajouter des filtres supplémentaires aux tendances d’activation affichées. Pour plus d’informations, consultez « AUTOTITLE ».

Conseil

Vous pouvez utiliser le filtre dans le champ de recherche pour filtrer les données par organisation. Pour plus d’informations, consultez « AUTOTITLE ».

Agir sur les données d’activation

Une fois que vous avez examiné la couverture des activations, envisagez les actions suivantes.

  1. Vérifiez si votre entreprise a configuré des stratégies trop restrictives qui limitent l’utilisation des fonctionnalités de sécurité. Consultez « AUTOTITLE ».

  2. Activez les fonctionnalités qui doivent être activées sur tous les référentiels. Pour plus d’informations sur l’activation des fonctionnalités pour une organisation entière, consultez AUTOTITLE.

    Par exemple, Alertes de détection de secrets et la protection push réduisent le risque de fuite de sécurité, quelles que soient les informations stockées dans le dépôt. Si vous constatez que des référentiels n'utilisent pas encore ces fonctionnalités, vous devez les activer ou discuter d’un plan d'activation avec l'équipe propriétaire du référentiel.

  3. Pour d’autres fonctionnalités, déterminez si la fonctionnalité doit être activée dans d’autres référentiels. Par exemple, il ne servirait à rien d’activer Dependabot pour les dépôts qui n’utilisent que des écosystèmes ou des langages non pris en charge. Il est donc normal que ces fonctionnalités ne soient pas activées pour certains référentiels.

Étapes suivantes

Vous pouvez utiliser la vue « Tendances d’activation » pour afficher l’état de l’activation et les tendances d’état d’activation au fil du temps pour Dependabot, code scanning, ou secret scanning dans les référentiels ou les organisations. Consultez les tendances d'activation pour une organisation ou une entreprise.