Implémenter des alertes GitHub Dependabot et des mises à jour de sécurité

  • 10 minutes

GitHub Dependabot fournit une gestion automatisée des dépendances intégrée directement dans les référentiels GitHub. Dependabot surveille les dépendances pour détecter les vulnérabilités de sécurité et les versions obsolètes, alerte les mainteneurs des référentiels et crée automatiquement des propositions de modification pour mettre à jour les dépendances vulnérables ou obsolètes. Cette intégration rend la sécurité des dépendances accessible à tous les utilisateurs GitHub sans nécessiter d’outils distincts.

Présentation de GitHub Dependabot

GitHub Dependabot se compose de trois fonctionnalités principales qui fonctionnent ensemble pour sécuriser les dépendances :

Alertes Dependabot

Les alertes Dependabot notifient les maintenances de référentiel lorsque des dépendances vulnérables sont détectées. GitHub surveille en permanence la base de données de conseil GitHub et d’autres sources de vulnérabilité, en les comparant aux dépendances utilisées dans les référentiels.

Déclencheurs d’alerte :

  • Nouvelles divulgations de vulnérabilités : Les alertes sont créées lorsque de nouvelles vulnérabilités sont ajoutées à la base de données de conseil GitHub.
  • Mises à jour de conseil : Les alertes existantes sont mises à jour lorsque des informations sur les vulnérabilités changent (gravité, versions affectées, correctifs).
  • Modifications apportées au graphe de dépendances : De nouvelles alertes sont générées lorsque les modifications de code introduisent des dépendances vulnérables.
  • Données de vulnérabilité mend : Des informations supplémentaires sur les vulnérabilités de Mend (anciennement WhiteSource) complètent la base de données de conseil GitHub.

Les informations d’alerte incluent :

  • Description de la vulnérabilité : Explication détaillée du problème de sécurité.
  • Niveau de gravité : Score CVSS et classification de gravité (critique, élevé, modéré, faible).
  • Versions affectées : Quelles versions de dépendance contiennent la vulnérabilité.
  • Versions corrigées : Quelles versions corrigent la vulnérabilité.
  • Identificateur CVE : Identificateur CVE (Common Vulnerabilities and Exposures) lorsqu'il est disponible.
  • Classification CWE : Type CWE (Common Weakness Enumeration) qui catégorise la vulnérabilité.
  • Lien Conseil de sécurité GitHub : Lien vers un avis complet avec des détails supplémentaires.

Mises à jour de sécurité Dependabot

Les mises à jour de sécurité de Dependabot créent automatiquement des pull requests pour mettre à jour les dépendances vulnérables aux versions sécurisées. Lorsque les alertes Dependabot détectent des vulnérabilités avec des correctifs disponibles, les mises à jour de sécurité peuvent générer automatiquement des pull requests qui corrigent les vulnérabilités.

Création automatique d’un pull request :

  • Déclenché par les vulnérabilités : Les mises à jour de sécurité créent des pull requests uniquement lorsque des vulnérabilités de sécurité sont détectées, et non pour chaque mise à jour de dépendance.
  • Augmentations de version minimales : Les demandes de tirage (pull request) mettent à jour les dépendances à la version minimale qui résout la vulnérabilité tout en maintenant la compatibilité.
  • Scores de compatibilité : GitHub calcule les scores de compatibilité qui prédisent si les mises à jour interrompent les fonctionnalités existantes.
  • Notes de publication : Les pull requests incluent les notes de publication et les informations du changelog concernant les dépendances mises à jour.

Fonctionnalités de demande de tirage :

  • Tests automatisés : Les pull requests déclenchent des pipelines CI/CD existants pour vérifier que les mises à jour ne cassent pas la fonctionnalité.
  • Résolution des vulnérabilités : Les descriptions des pull requests expliquent quelles vulnérabilités sont résolues par la mise à jour.
  • Commandes de mise à jour : Les commentaires spéciaux permettent aux gestionnaires de contrôler le timing du fusionnement, de rebaser des pull requests ou d’ignorer certaines mises à jour.
  • Mises à jour groupées : Plusieurs dépendances vulnérables peuvent être mises à jour dans une demande de fusion unique si nécessaire.

Mises à jour des versions Dependabot

Les mises à jour des versions de Dependabot conservent les dépendances à jour même si aucune vulnérabilité n’est présente. Contrairement aux mises à jour de sécurité qui mettent uniquement à jour les dépendances vulnérables, les mises à jour de version mettent à jour de manière proactive les dépendances vers les dernières versions en fonction des planifications configurées.

Mises à jour planifiées :

  • Fréquence configurable : Les mises à jour peuvent être planifiées quotidiennement, hebdomadaires ou mensuelles.
  • Stratégies de mise à jour : Configurez s’il faut mettre à jour toutes les dépendances, uniquement les dépendances directes ou des groupes de dépendances spécifiques.
  • Contraintes de version : Respectez les contraintes de contrôle de version sémantique définies dans les fichiers manifestes.
  • Limites des pull requests : Contrôlez combien de pull requests ouvertes Dependabot crée pour éviter de surcharger les mainteneurs.

Activation des alertes Dependabot

Les alertes Dependabot sont activées par défaut pour les référentiels publics, mais doivent être activées manuellement pour les référentiels privés.

Activer les alertes pour un référentiel

Navigation:

  1. Accédez au référentiel sur GitHub.
  2. Cliquez sur Paramètres dans le menu du référentiel.
  3. Cliquez sur Sécurité et analyse dans la barre latérale gauche.
  4. Recherchez la section Alertes Dependabot .
  5. Cliquez sur Activer pour activer les alertes Dependabot.

Exigence du graphique des dépendances : Les alertes Dependabot nécessitent l’activation du graphique de dépendances. Le graphique de dépendances est automatiquement activé pour les référentiels publics, mais peut avoir besoin d’une activation manuelle pour les référentiels privés.

Activer le graphique des dépendances :

  1. Dans Paramètres → Sécurité et analyse, recherchez le graphique des dépendances.
  2. Cliquez sur Activer si le graphique de dépendances n’est pas déjà actif.
  3. GitHub commence à analyser les dépendances du référentiel pour générer le graphique des dépendances.

Mise en œuvre à l’échelle de l’organisation

Les administrateurs d’organisation peuvent activer les alertes Dependabot sur tous les référentiels :

Paramètres de l’organisation :

  1. Accédez aux paramètres de l’organisation.
  2. Cliquez sur Sécurité et analyse dans la barre latérale gauche.
  3. Cliquez sur Activer tout en regard des alertes Dependabot pour activer les alertes pour tous les dépôts actuels et futurs.
  4. Si vous le souhaitez, sélectionnez Activer automatiquement pour les nouveaux référentiels afin d’activer les alertes pour les dépôts nouvellement créés.

Écosystèmes de packages pris en charge

Les alertes Dependabot prennent en charge de nombreux écosystèmes de packages, notamment :

Écosystèmes pris en charge :

  • JavaScript : npm (package.json, package-lock.json), Yarn (yarn.lock).
  • Python : pip (requirements.txt, Pipfile, Pipfile.lock), Poésie (poésie.lock).
  • Ruby: Bundler (Gemfile, Gemfile.lock).
  • Java: Maven (pom.xml), Gradle (build.gradle, build.gradle.kts).
  • .NET: NuGet (*.csproj, packages.config, paket.dependencies).
  • Go : Modules Go (go.mod, go.sum).
  • PHP : Composer (composer.json, composer.lock).
  • Rust: Cargo (Cargo.toml, Cargo.lock).
  • Elixir : Mix (mix.exs, mix.lock).
  • Dart/Flutter : pub (pubspec.yaml, pubspec.lock).
  • Docker : Dockerfiles (références d'images de base).
  • GitHub Actions : Fichiers de flux de travail (versions d’action).
  • Terraform : Configuration Terraform (versions de module).

Configuration des mises à jour de sécurité Dependabot

Les mises à jour de sécurité de Dependabot nécessitent une activation explicite, même lorsque les alertes sont activées.

Activer les mises à jour de sécurité

Configuration du référentiel :

  1. Accédez à Paramètres → Sécurité et analyse.
  2. Recherchez les mises à jour de sécurité de Dependabot.
  3. Cliquez sur Activer pour mettre en fonction les pull requests automatiques de mise à jour de sécurité.
  4. Dependabot entamera la surveillance des dépendances vulnérables et créera des requêtes de fusion lorsque des correctifs seront disponibles.

Configuration à l’échelle de l’organisation :

  1. Accédez aux paramètres de l’organisation → Sécurité et analyse.
  2. Cliquez sur Activer tout en regard des mises à jour de sécurité de Dependabot.
  3. Sélectionnez Activer automatiquement les nouveaux référentiels pour les futurs référentiels.

Comportement des mises à jour de sécurité

Création automatique d'une pull request :

  • Détection des vulnérabilités : Lorsque les alertes Dependabot détectent une dépendance vulnérable avec un correctif disponible, une mise à jour de sécurité crée une pull request (requête d'incorporation).
  • Mises à jour minimales : Les pull requests ne sont mises à jour que vers la version minimale qui résout la vulnérabilité.
  • Contrôle de version sémantique : Les mises à jour respectent le contrôle de version sémantique, en préférant les mises à jour correctives par rapport aux mises à jour mineures ou majeures lorsque cela est possible.
  • Test de l’intégration : Les demandes de tirage (pull request) déclenchent les contrôles CI/CD existants afin de valider les mises à jour.

Scores de compatibilité : GitHub calcule les scores de compatibilité indiquant la probabilité que les mises à jour interrompent les fonctionnalités existantes :

  • Compatibilité élevée : La mise à jour est probablement sécurisée en fonction de l’analyse des dépôts similaires.
  • Compatibilité moyenne : La mise à jour peut introduire des changements cassants qui nécessitent une révision.
  • Faible compatibilité : La mise à jour inclut probablement des modifications de rupture nécessitant des modifications de code.
  • Compatibilité inconnue : Données insuffisantes pour évaluer la compatibilité.

Gestion des demandes de tirage :

  • Rebasage automatique : Dependabot effectue automatiquement le rebasage des demandes de tirage lorsque la branche de base change.
  • Résolution de conflit : Les pull requests sont fermées si des conflits empêchent le rebasage automatique.
  • Mises à jour remplaçantes : Les nouvelles demandes de tirage remplacent les anciennes lorsque de nouvelles versions sont publiées.
  • Mises à jour planifiées : Les demandes de tirage sont créées selon des horaires configurés pour éviter de surcharger les mainteneurs.

Configuration de mises à jour de version Dependabot

Les mises à jour de version nécessitent un fichier de configuration définissant les planifications et le comportement des mises à jour.

Créer une configuration de dependabot.yml

Les mises à jour de version sont configurées à l’aide d’un .github/dependabot.yml fichier dans le référentiel :

Configuration de base :

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "weekly"
    open-pull-requests-limit: 10

Options de configuration :

  • Version: Version du schéma du fichier de configuration (toujours 2).
  • Mises à jour: Tableau de configurations de mise à jour pour différents écosystèmes de package.
  • package-ecosystem : Gestionnaire de package à surveiller (npm, pip, bundler, maven, nuget, etc.).
  • répertoire: Emplacement des fichiers manifestes de package (/ pour le chemin racine ou sous-répertoire).
  • schedule.interval : Fréquence de mise à jour (quotidienne, hebdomadaire, mensuelle).
  • open-pull-requests-limit: Nombre maximal de pull requests ouvertes créées par Dependabot (par défaut 5).

Exemple de configuration avancé :

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "weekly"
      day: "monday"
      time: "08:00"
      timezone: "America/New_York"
    open-pull-requests-limit: 10
    reviewers:
      - "team/frontend-developers"
    assignees:
      - "dependency-manager"
    labels:
      - "dependencies"
      - "npm"
    commit-message:
      prefix: "npm"
      include: "scope"
    ignore:
      - dependency-name: "lodash"
        versions: ["4.x"]
    allow:
      - dependency-type: "production"

Options avancées :

  • schedule.day : Jour de la semaine pour les mises à jour hebdomadaires (lundi à dimanche).
  • schedule.time : Heure du jour des mises à jour (format de 24 heures).
  • schedule.timezone : Fuseau horaire pour la planification (identificateur de fuseau horaire IANA).
  • Examinateurs : utilisateurs ou équipes GitHub automatiquement sollicités pour des revues de pull request.
  • Assignés : Les utilisateurs GitHub sont automatiquement assignés aux pull requests.
  • Étiquettes: Étiquettes appliquées automatiquement aux pull requests.
  • commit-message.prefix : Préfixe pour les messages de validation (utile pour les validations conventionnelles).
  • ignorer: Dépendances à ignorer, éventuellement avec des plages de versions spécifiques.
  • permettre : Types de dépendances à mettre à jour (production, développement, tous).

Écosystèmes de paquets multiples

Les dépôts utilisant plusieurs écosystèmes de langage nécessitent des configurations de mise à jour distinctes :

Configuration multi-écosystème :

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/frontend"
    schedule:
      interval: "weekly"

  - package-ecosystem: "pip"
    directory: "/backend"
    schedule:
      interval: "weekly"

  - package-ecosystem: "docker"
    directory: "/"
    schedule:
      interval: "weekly"

  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      interval: "monthly"

Cette configuration surveille les dépendances npm dans /frontend, les dépendances Python dans /backend, les images de base Docker dans le référentiel et les versions GitHub Actions dans les workflows.

Gestion des pull requests de Dependabot

Les demandes pull Dependabot prennent en charge les commandes spéciales pour la gestion des mises à jour.

Commandes de demande de tirage

Commandes de commentaire :

  • @dependabot rebase: rebasez la pull request sur la branche de base actuelle.
  • @dependabot recreate : Recréer la demande de tirage, en remplaçant les modifications manuelles.
  • Fusionnez la pull request une fois que les validations CI sont terminées.
  • @dependabot squash and merge: Squash valide et fusionne une fois les vérifications passées.
  • @dependabot cancel merge: Annulez une fusion précédemment demandée.
  • @dependabot reopen: Rouvrir une pull request fermée.
  • fermez la pull request afin d'empêcher Dependabot de la recréer.
  • @dependabot ignore this major version : Fermer la demande de tirage (pull request) et ignorer les futures mises à jour de cette version majeure.
  • @dependabot ignore this minor version : Fermer la demande de tirage (pull request) et ignorer les futures mises à jour de cette version mineure.
  • @dependabot ignore this dependency: Fermez le "pull request" et ignorez toutes les futures mises à jour de cette dépendance.

Révision et fusion des mises à jour

Processus de révision :

  1. Examinez la description de la pull request : Comprenez quelle vulnérabilité est résolue ou quelle version est mise à jour.
  2. Passez en revue le score de compatibilité : Évaluer la probabilité de rupture des changements.
  3. Vérifiez les résultats CI/CD : Vérifiez que les tests automatisés réussissent correctement.
  4. Passez en revue les notes de publication : Comprendre les modifications incluses dans la mise à jour des dépendances.
  5. Testez localement si nécessaire : Pour les mises à jour majeures, testez les fonctionnalités localement avant de fusionner.
  6. Fusionner la pull request : Approuver et fusionner la pull request pour mettre à jour la dépendance.

Fusion automatique : Pour les mises à jour à faible risque avec des scores de compatibilité élevés et la réussite de tests, envisagez de configurer la fusion automatique :

GitHub Actions : Fusion automatique :

name: Auto-merge Dependabot PRs
on: pull_request

jobs:
  auto-merge:
    runs-on: ubuntu-latest
    if: github.actor == 'dependabot[bot]'
    steps:
      - name: Enable auto-merge
        run: gh pr merge --auto --squash "$PR_URL"
        env:
          PR_URL: ${{ github.event.pull_request.html_url }}
          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}

Ce flux de travail active automatiquement la fusion automatique pour les requêtes pull Dependabot qui passent toutes les vérifications requises.

Alertes et notifications Dependabot

Dependabot fournit plusieurs mécanismes de notification pour les alertes de vulnérabilité.

Canaux de notification

Notifications Web :

  • Notifications GitHub : Les alertes s’affichent dans la boîte de réception des notifications GitHub.
  • Onglet Sécurité : Les alertes sont visibles sous l’onglet Sécurité du référentiel sous alertes Dependabot.
  • Aperçus du référentiel : Le graphique des dépendances dans l'onglet 'Insights' affiche les dépendances vulnérables.

Notifications par e-mail :

  • Synthèse des e-mails : E-mails récapitulatives hebdomadaires répertoriant les nouvelles alertes.
  • E-mails en temps réel : E-mails immédiats pour les vulnérabilités critiques.
  • Notifications de l’organisation : Les administrateurs de l’organisation reçoivent des notifications pour tous les dépôts.

Notifications personnalisées :

  • Webhooks : Configurez les webhooks pour recevoir des notifications d’alerte dans des systèmes externes.
  • API GitHub : Interrogez l’API d’alertes Dependabot pour récupérer des informations d’alerte par programmation.
  • Intégrations de sécurité : Les plateformes de sécurité tierces peuvent s’intégrer aux alertes Dependabot via l’API.

Configuration des préférences de notification

Paramètres de notification utilisateur :

  1. Accédez aux paramètres GitHub → Notifications.
  2. Recherchez la section Alertes de sécurité .
  3. Configurer les préférences de notification :
    • Participer : Recevez des notifications pour les dépôts que vous suivez ou auxquels vous êtes impliqué.
    • Suivi : Recevoir des notifications pour tous les dépôts suivis.
    • Messagerie électronique: Activez les notifications par e-mail pour les alertes de sécurité.
    • Web: Activer les notifications web dans l’interface utilisateur GitHub.

Paramètres de notification de l’organisation :

  1. Accédez aux paramètres de l’organisation → Sécurité et analyse.
  2. Configurez qui reçoit des notifications d’alerte de sécurité :
    • Propriétaires d’organisations : Recevez automatiquement toutes les alertes de sécurité.
    • Gestionnaires de sécurité : L’équipe de sécurité désignée reçoit des alertes.
    • Administrateurs de référentiel : Chaque administrateur de référentiel reçoit des alertes pour leurs dépôts.

Examen des alertes Dependabot

L’onglet Sécurité fournit une gestion complète des alertes.

Détails de l’alerte

Accédez aux alertes :

  1. Ouvrez le référentiel sur GitHub.
  2. Cliquez sur l’onglet Security .
  3. Cliquez sur Les alertes Dependabot dans la barre latérale gauche.
  4. Passez en revue la liste des alertes actives.

Informations sur l’alerte :

  • Sévérité: Classification critique, élevée, modérée ou faible.
  • Colis: Nom et version de dépendance affectés.
  • Vulnérabilité: Identificateur et description CVE.
  • Versions corrigées : Versions qui résolvent la vulnérabilité.
  • Chemins de code vulnérables : Indique si le code vulnérable est réellement utilisé (si l’analyse de la portée est disponible).
  • Correction automatique disponible : Indiquer si Dependabot peut automatiquement créer une pull request pour corriger la vulnérabilité.

Gestion des alertes

Actions d’alerte :

  • Passez en revue la demande de tirage : Si une mise à jour de sécurité automatique existe, passez en revue et fusionnez la demande de tirage.
  • Ignorer l’alerte : Ignorer les faux positifs ou les risques acceptés en donnant une raison pour ce rejet.
  • Alerte snooze : Ignorez temporairement les alertes qui ne peuvent pas être immédiatement traitées.
  • Alerte de réouverture : Rouvrez les alertes précédemment ignorées si les circonstances changent.

Motifs de licenciement :

  • Correctif démarré : L’équipe travaille activement à la correction.
  • Aucune bande passante : Le problème est reconnu mais ne peut pas être résolu actuellement.
  • Risque tolérable : La vulnérabilité ne pose pas de risque significatif dans ce contexte.
  • Imprécis: L’alerte est un faux positif.

Intégration de GitHub Advanced Security

GitHub Dependabot est un composant principal de GitHub Advanced Security, la plateforme de sécurité complète de GitHub qui fournit des fonctionnalités de sécurité de niveau entreprise pour protéger votre chaîne d’approvisionnement logicielle.

Fonctionnalités avancées de sécurité

Fonctionnalités de sécurité intégrées :

  • Analyse des dépendances : Dependabot analyse automatiquement les dépendances pour détecter les vulnérabilités connues à l’aide des bases de données gitHub Advisory Database et des bases de données de vulnérabilité du secteur.
  • Analyse des secrets : Détecte les secrets, les jetons et les informations d’identification validés accidentellement dans le code et l’historique du référentiel.
  • Analyse du code : Utilise CodeQL et d’autres moteurs d’analyse pour rechercher des vulnérabilités de sécurité et des erreurs de codage dans le code source.
  • Vue d’ensemble de la sécurité : Fournit une visibilité à l’échelle de l’organisation sur les alertes de sécurité, les vulnérabilités et l’état de correction.
  • Sécurité de la chaîne logistique : Graphique de dépendances, révision des dépendances et génération SBOM pour une visibilité complète de la chaîne d’approvisionnement.

Licences et disponibilité

Accès avancé à la sécurité :

  • Dépôts publics : Toutes les fonctionnalités de Sécurité avancée GitHub sont disponibles gratuitement sur les référentiels publics.
  • Référentiels privés : Nécessite une licence GitHub Advanced Security (incluse avec GitHub Enterprise Cloud et GitHub Enterprise Server).
  • GitHub Free/Team : Les alertes de Dependabot et les mises à jour de sécurité sont disponibles, mais l’analyse du code et l’analyse des secrets nécessitent une licence Advanced Security.

Tableau de bord vue d’ensemble de la sécurité

La vue d’ensemble de la sécurité offre une visibilité au niveau de l’organisation :

Métriques de sécurité de l’organisation :

  • Tendances des alertes : Affichez les tendances des alertes de sécurité dans tous les référentiels au fil du temps.
  • Évaluation du risque: Identifiez les dépôts avec le risque de sécurité le plus élevé en fonction des alertes critiques et de gravité élevée.
  • Couverture de l’équipe : Surveillez les équipes sur lesquelles les fonctionnalités de sécurité sont activées et effectuez le suivi de la progression de la correction.
  • Rapports de conformité : Générez des rapports pour les exigences de conformité et d’audit de sécurité.

Vue d’ensemble de la sécurité d’accès :

  1. Accédez à votre organisation sur GitHub.
  2. Cliquez sur l’onglet Security .
  3. Passez en revue les métriques de sécurité à l’échelle de l’organisation, les nombres d’alertes et les tendances.
  4. Explorez les référentiels ou les types d’alertes spécifiques pour une investigation détaillée.

Activation de la sécurité avancée

Pour les propriétaires d’organisations :

  1. Accédez aux paramètres de l’organisation.
  2. Cliquez sur Sécurité et analyse du code.
  3. Activez GitHub Advanced Security pour les dépôts privés.
  4. Configurez les paramètres par défaut pour :
    • Graphique de dépendances (activé automatiquement).
    • Alertes Dependabot.
    • Mises à jour de sécurité de Dependabot.
    • Analyse de secrets.
    • Analyse du code (nécessite une configuration de flux de travail).

Activation au niveau du référentiel :

Les dépôts individuels peuvent activer ou désactiver les fonctionnalités Advanced Security :

  1. Accédez aux paramètres du référentiel.
  2. Cliquez sur Sécurité et analyse du code.
  3. Activez les fonctionnalités de sécurité souhaitées :
    • Graphique des dépendances : Obligatoire pour la fonctionnalité Dependabot.
    • Alertes Dependabot : Notifications de vulnérabilité.
    • Mises à jour de sécurité de Dependabot : Correctif automatique des demandes de tirage (pull request) pour les vulnérabilités.
    • Analyse des secrets : Détection des fuites d’informations d’identification.
    • Analyse du code : Test de sécurité des applications statiques (SAST).

Intégration à des flux de travail de développement

GitHub Advanced Security s’intègre en toute transparence aux processus de développement :

Intégration des pull requests :

  • Révision des dépendances : Revoit automatiquement les mises à jour des dépendances dans les demandes de tirage, en mettant en évidence les nouvelles vulnérabilités introduites par les mises à jour.
  • Vérifications de sécurité : L’analyse du code et l’analyse des secrets s’exécutent automatiquement sur les demandes d’extraction, bloquant les fusions si des problèmes critiques sont détectés.
  • Révisions obligatoires : Configurez les règles de protection de branche pour requérir l’approbation de l’équipe de sécurité concernant les demandes de tirage (pull request) associées à des alertes de sécurité.

Stratégies de sécurité :

  • SECURITY.md : Définissez les stratégies de divulgation des vulnérabilités et les informations de contact de sécurité.
  • Propriétaires de code : Attribuez des membres de l’équipe de sécurité en tant que propriétaires de code pour les fichiers de dépendances (package.json, requirements.txt, pom.xml).
  • Protection des branches : Exiger des vérifications d’état pour les analyses de sécurité avant d’autoriser les fusions.

Audit et conformité :

  • Journal d’audit : Effectuez le suivi de toutes les actions liées à la sécurité, notamment les licenciements d’alerte, l’activation des fonctionnalités et les modifications d’accès.
  • Stratégies de sécurité : Appliquer des normes de sécurité à l’échelle de l’organisation sur tous les référentiels.
  • Intégration de conformité : Exportez des données de sécurité pour SOC 2, ISO 27001 et d’autres frameworks de conformité.

GitHub Advanced Security fournit une protection de niveau entreprise pour votre chaîne d’approvisionnement logicielle, avec Dependabot servant de base pour la gestion de la sécurité des dépendances. L’approche intégrée de la plateforme garantit la détection complète des vulnérabilités, la correction automatisée et la visibilité de la sécurité à l’échelle de l’organisation.

GitHub Dependabot fournit une gestion complète et automatisée de la sécurité des dépendances intégrée directement aux flux de travail GitHub. En activant des alertes, des mises à jour de sécurité et des mises à jour de version, les équipes de développement peuvent traiter de manière proactive les vulnérabilités et gérer les dépendances up-to-date avec un effort manuel minimal. L’unité suivante explore comment intégrer des vérifications d’analyse de composition logicielle dans des pipelines CI/CD au-delà des fonctionnalités intégrées de GitHub.