Évaluation de l’adoption des fonctionnalités de sécurité

Découvrez quelles équipes et référentiels ont déjà activé les fonctionnalités de codage sécurisé et identifiez les éléments qui ne sont pas encore protégés.

Qui peut utiliser cette fonctionnalité ?

L’accès nécessite :

  • Vues de l’organisation : accès en écriture aux référentiels de l’organisation
  • Vues d’entreprise : propriétaires et responsables de la sécurité de l’organisation

Organisations appartenant à un compte GitHub Team avec GitHub Secret Protection or GitHub Code Security, ou appartenant à un compte GitHub Enterprise

Dans cet article

Vous pouvez utiliser la vue d’ensemble de la sécurité pour voir quels dépôts et quelles équipes ont déjà activé chaque fonctionnalité de sécurité, et identifier où les utilisateurs doivent être davantage incités à adopter ces fonctionnalités.

Remarque

Les « alertes de demande de tirage » sont signalées comme étant activées uniquement lorsqu’elles code scanning ont analysé au moins une demande de tirage depuis que les alertes ont été activées pour le référentiel.

Affichage de l’activation des fonctionnalités de sécurité pour une organisation

Vous pouvez afficher les données permettant d’évaluer l’activation des fonctionnalités de codage sécurisé dans l’ensemble des dépôts d’une organisation.

  1. Sur GitHub, accédez à la page principale de l’organisation.
  2. Sous le nom de votre organisation, cliquez sur l’onglet Security and quality .
  3. Pour afficher la vue « Couverture de sécurité », dans la barre latérale, cliquez sur Couverture.
  4. Utilisez les options du résumé de la page pour filtrer les résultats afin d'afficher les référentiels que vous souhaitez évaluer. La liste des référentiels et des métriques affichés sur la page est automatiquement mise à jour en fonction de votre sélection actuelle. Pour plus d’informations sur le filtrage, voir Filtrage des alertes dans la vue d’ensemble de la sécurité.
    • Utilisez le menu déroulant Équipes pour afficher des informations uniquement sur les dépôts appartenant à une ou plusieurs équipes. Pour plus d’informations, consultez « Gestion de l’accès de l’équipe à un dépôt de l’organisation ».
    • Cliquez sur NOMBRE activé ou NOMBRE non activé dans l’en-tête pour qu’une fonctionnalité affiche uniquement les dépôts avec cette fonctionnalité activée ou non activée.
    • En haut de la liste des référentiels, cliquez sur NOMBRE archivés pour afficher uniquement les référentiels archivés.
    • Cliquez dans la zone de recherche pour ajouter des filtres supplémentaires aux référentiels affichés.

Affichage de l’activation des fonctionnalités de codage sécurisé dans une entreprise

Vous pouvez afficher les données permettant d’évaluer l’activation des fonctionnalités de sécurité dans l’ensemble des organisations d’une entreprise.

  1. Accédez à GitHub Enterprise Cloud.
  2. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil.
  3. Selon votre environnement, cliquez sur Entreprise, ou sur Entreprises , puis sur l’entreprise que vous souhaitez afficher.
  4.        En haut de la page, cliquez sur l’onglet **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** .
  5. Pour afficher la vue « Couverture de la sécurité », dans la barre latérale, cliquez sur Couverture.
  6. Utilisez les options du résumé de la page pour filtrer les résultats afin d'afficher les référentiels que vous souhaitez évaluer. La liste des référentiels et des métriques affichés sur la page est automatiquement mise à jour en fonction de votre sélection actuelle. Pour plus d’informations sur le filtrage, voir Filtrage des alertes dans la vue d’ensemble de la sécurité.

    • Utilisez le menu déroulant Équipes pour afficher des informations uniquement sur les dépôts appartenant à une ou plusieurs équipes. Pour plus d’informations, consultez « Gestion de l’accès de l’équipe à un dépôt de l’organisation ».

    • Cliquez sur NOMBRE activé ou NOMBRE non activé dans l’en-tête pour qu’une fonctionnalité affiche uniquement les dépôts avec cette fonctionnalité activée ou non activée.

    • En haut de la liste des référentiels, cliquez sur NOMBRE archivés pour afficher uniquement les référentiels archivés.

    • Cliquez dans la zone de recherche pour ajouter des filtres supplémentaires aux référentiels affichés.

    Conseil

    Vous pouvez utiliser le filtre owner dans le champ de recherche pour filtrer les données par organisation. Pour plus d’informations, consultez Filtrage des alertes dans la vue d’ensemble de la sécurité.

Vous pouvez afficher les données permettant d’évaluer l’état d’activation des fonctionnalités de sécurité pour une organisation, ainsi que l’évolution de cet état.

  1. Sur GitHub, accédez à la page principale de l’organisation.
  2. Sous le nom de votre organisation, cliquez sur l’onglet Security and quality .
  3. Dans la barre latérale, sous « Métriques », cliquez sur Tendances d’activation.
  4. Cliquez sur l’un des onglets pour «Dependabot , »Code scanning ou «Secret scanning » pour afficher les tendances d’activation et le pourcentage de référentiels de votre organisation avec cette fonctionnalité activée. Ces données sont affichées sous la forme d’un graphique et d’un tableau détaillé.
  5. Vous pouvez également utiliser les options en haut de la page « Tendances d’activation » afin de filtrer le groupe de dépôts pour lequel vous souhaitez voir les tendances d’activation.

    • Utilisez le sélecteur de date pour définir l’intervalle de temps pour lequel vous souhaitez afficher les tendances d’activation.

    • Cliquez dans la zone de recherche pour ajouter des filtres supplémentaires aux tendances d’activation affichées. Les filtres que vous pouvez appliquer sont les mêmes que ceux de la vue de tableau de bord « Vue d’ensemble ». Pour plus d’informations, consultez « Filtrage des alertes dans la vue d’ensemble de la sécurité ».

      Capture d’écran de la vue « Tendances d’activation » pour une organisation, montrant l’état et les tendances de Dependabot sur 30 jours, avec un filtre appliqué.

Vous pouvez afficher les données permettant d’évaluer l’état d’activation des fonctionnalités de sécurité dans l’ensemble des organisations d’une entreprise, ainsi que l’évolution de cet état au fil du temps.

  1. Accédez à GitHub Enterprise Cloud.
  2. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil.
  3. Selon votre environnement, cliquez sur Entreprise, ou sur Entreprises , puis sur l’entreprise que vous souhaitez afficher.
  4.        En haut de la page, cliquez sur l’onglet **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** .
  5. Pour afficher la vue « Tendances d’activation », dans la barre latérale, cliquez sur Tendances d’activation.
  6. Cliquez sur l’un des onglets suivants : «Dependabot », «Code scanning » ou «Secret scanning » pour afficher les tendances d’activation et le pourcentage de référentiels dans les organisations de votre entreprise qui ont cette fonctionnalité activée. Ces données sont affichées sous la forme d’un graphique et d’un tableau détaillé.
  7. Vous pouvez également utiliser les options en haut de la page « Tendances d’activation » afin de filtrer le groupe de dépôts pour lequel vous souhaitez voir les tendances d’activation.
    • Utilisez le sélecteur de date pour définir l’intervalle de temps pour lequel vous souhaitez afficher les tendances d’activation.
    • Cliquez dans la zone de recherche pour ajouter des filtres supplémentaires aux tendances d’activation affichées. Pour plus d’informations, consultez « Filtrage des alertes dans la vue d’ensemble de la sécurité ».

Conseil

Vous pouvez utiliser le filtre owner: dans le champ de recherche pour filtrer les données par organisation. Pour plus d’informations, consultez « Filtrage des alertes dans la vue d’ensemble de la sécurité ».

Agir sur les données d’activation

Une fois que vous avez examiné la couverture des activations, envisagez les actions suivantes.

  1. Vérifiez si votre entreprise a configuré des stratégies trop restrictives qui limitent l’utilisation des fonctionnalités de sécurité. Consultez « Application de stratégies de sécurité et d’analyse du code pour votre entreprise ».

  2. Activez les fonctionnalités qui doivent être activées sur tous les référentiels. Pour plus d’informations sur l’activation des fonctionnalités de toute l'organisation, consultez Configuration des fonctionnalités de sécurité dans votre organisation.

    Par exemple, Alertes de détection de secrets et la protection push réduisent le risque d’une fuite de sécurité quelles que soient les informations stockées dans le référentiel. Si vous constatez que des référentiels n'utilisent pas encore ces fonctionnalités, vous devez les activer ou discuter d’un plan d'activation avec l'équipe propriétaire du référentiel.

  3. Pour d’autres fonctionnalités, déterminez si la fonctionnalité doit être activée dans d’autres référentiels. Par exemple, il n’y aurait aucun point d’activation Dependabot pour les référentiels qui utilisent uniquement des écosystèmes ou des langages non pris en charge. Il est donc normal que ces fonctionnalités ne soient pas activées pour certains référentiels.

Étapes suivantes

Vous pouvez télécharger un fichier CSV des données affichées sur la page « Couverture de sécurité ». Ce fichier de données peut être utilisé pour des activités comme la recherche en matière de sécurité et l’analyse approfondie des données, et peut s’intégrer facilement à des jeux de données externes. Consultez « Exportation de données de la vue d’ensemble de la sécurité ».

Vous pouvez utiliser la vue « Tendances d’activation » pour afficher l’état d’activation et les tendances d’état d’activation au fil du temps pour Dependabot, code scanning, ou secret scanning dans les référentiels ou dans les organisations. Consultez Affichage des tendances d’activation pour une organisation ou Affichage des tendances d’activation pour une entreprise.