Sécurité

Sécuriser les logiciels

Que nous soyons développeurs, mainteneurs, chercheurs ou membre d’une équipe de sécurité, nous jouons tous un rôle dans la sécurisation du code mondial. Sur GitHub, les équipes de développement du monde entier peuvent travailler ensemble pour sécuriser, du fork jusqu’à la livraison, la chaîne d’approvisionnement en logiciels.


Prêt à discuter des fonctions de sécurité avancées pour GitHub Enterprise ?

Contactez notre équipe de vente

Identifier

Identifier des vulnérabilités que d’autres outils ne détectent pas

Code QL est le principal moteur d’analyse de code sémantique du marché. Notre approche révolutionnaire consiste à traiter le code comme des données afin d’identifier plus rapidement les vulnérabilités de sécurité.

Security vulnerability Security vulnerability alert
Treating code as data

Traiter le code comme des données

En général, les chercheurs en sécurité découvrent les vulnérabilités en procédant à l’inspection manuelle du code. Code QL, le moteur d’analyse de code sémantique de Semmle, traite le code comme des données grâce à un puissant moteur de requête. Il identifie même les modèles sémantiques les plus complexes à grande échelle et devient plus intelligent au fil du temps.

A revolutionary engine

Un moteur révolutionnaire

CodeQL combine des recherches de pointe en optimisation des compilateurs avec des connaissances clés sur l’implémentation des bases de données, dans un langage déclaratif et orienté objet. Grâce à CodeQL les équipes sécurité peuvent trouver à grande échelle des vulnérabilités que d’autres outils laissent échapper.

Community-led approach

Une approche communautaire

Les principaux chercheurs en sécurité codifient les modèles de vulnérabilités sous forme de requêtes Code QL pour partager leur expertise avec le monde entier. CodeQL est livré avec des milliers de requêtes utilisées pour effectuer de l’analyse de variantes, sur lesquelles les développeurs, les mainteneurs et les équipes de sécurité peuvent s’appuyer, y compris pour créer les leurs.

Signaler

Définir le workflow sécurité pour l’open source

L’open source alimente les logiciels du monde entier. GitHub fournit aux chercheurs en sécurité et aux mainteneurs open source les infrastructures dont ils ont besoin pour signaler les vulnérabilités de sécurité.

Responsible vulnera reporting

Un signalement responsable des vulnérabilités

Les mainteneurs Open Source définissent des politiques de sécurité pour leurs projets, ce qui permet à leurs communautés de connaître le meilleur moyen de signaler les vulnérabilités de manière responsable.

Organization-wide secuirty policies

Des politiques de sécurité à l’échelle de l’entreprise

Le fichier SECURITY.MD d’un dépôt décrit tout ce dont les chercheurs et les utilisateurs ont besoin pour signaler une vulnérabilité potentielle. Les mainteneurs peuvent créer des politiques par projet ou appliquer automatiquement une politique de sécurité à chaque dépôt au sein de leur entreprise.

Security policy
Security workspace
Security workspace comment Security workspace comment Security workspace queues changes Security workspace merge

Corriger

Avis de sécurité des mainteneurs

Les mainteneurs Open Source disposent d’un espace privé et sécurisé qui leur permet de travailler ensemble sur les vulnérabilités. Ils collaborent sur des correctifs et publient des avis de sécurité destinés à la communauté de personnes qui dépendent de leurs projets. Ils le font sans toutefois quitter GitHub, et hors de vue des pirates potentiels.

Private collaboration for maintainers

Collaboration privée entre les mainteneurs

Avant d’envoyer des avis publics, les mainteneurs discutent en privé de l’impact d’une vulnérabilité dans des avis préliminaires. Ils collaborent dans des forks privées temporaires, puis publient des avis pour alerter et mettre à jour l’ensemble de l’écosystème.

Securing respositories and their dependents

Sécuriser les dépôts tous ceux qui en dépendent

Depuis le lancement des avis de sécurité en 2019, les projets open source se sont appuyés sur GitHub pour publier des avis de sécurité et informer tous les dépôts dépendants.

New CVE records from GitHub

Nouveaux enregistrements CVE de GitHub

Les alertes de sécurité provenant d’éléments de la liste CVE contiennent un lien vers l’enregistrement CVE avec plus de détails sur la vulnérabilité. Pour les nouvelles vulnérabilités, GitHub crée un nouvel enregistrement pour informer la communauté de la sécurité.

Alerter

Alertes de sécurité

GitHub examine chaque vulnérabilité de sécurité pour identifier et signaler les dépôts affectés. Nous nous procurons nos renseignements sur les vulnérabilités auprès d’experts du secteur afin de fournir aux propriétaires de projets les détails dont ils ont besoin pour comprendre les risques auxquels ils sont exposés et y remédier.

Research-driven vulnerability data

Données sur les vulnérabilités fondées sur les recherches

GitHub surveille les vulnérabilités présentes dans les paquets provenant des gestionnaires de paquets pris en charge. Pour ce faire, il utilise des données recueillies auprès des chercheurs en sécurité, des mainteneurs, de la National Vulnerability Database - incluant les release notes, changelog et les détails des commit.

Expert analysis on every alert

Aider tout le monde à rester en sécurité

GitHub analyse en permanence les avis de sécurité pour les langages populaires. Nous envoyons des alertes de sécurité aux mainteneurs des dépôts affectés avec des détails sur le niveau de gravité et un lien vers des fichiers pertinents.

Mettre à jour

Mettre automatiquement à jour les dépendances vulnérables

L’identification des vulnérabilités de sécurité ne constitue que la moitié du défi à relever. Cependant, les propriétaires de projets peuvent mettre à jour, plus rapidement que jamais, les dépendances vulnérables grâce à Dependabot.

Des pull requests automatisées pour les mises à jour de sécurité

Les mises à jour de sécurité automatisées assurent la sécurité en ouvrant automatiquement les pull requests pour mettre à jour les dépendances vers la version minimale qui résout la vulnérabilité. Les scores de compatibilité basés sur des tests effectués par la communauté aident les mainteneurs à fusionner les mises à jour en toute confiance.

Dependabot comment Merge pull request
GitHub Security

Protéger les bases de code contre les nouvelles vulnérabilités

Le fait de maintenir le code à jour n’est pas suffisant pour sécuriser l’open source pour tous. Nous travaillons avec des chercheurs en sécurité, des mainteneurs et des développeurs pour empêcher de nouvelles vulnérabilités de pénétrer dans des projets logiciels.

Prévenir

Analyse automatique des jetons

Chaque développeur doit gérer ses identifiants. GitHub recherche les jetons exposés accidentellement dans des dépôts publics, puis alerte le fournisseur en quelques secondes afin qu’il puisse les révoquer ou en informer le propriétaire, selon le cas.

Alert exposed token Patched exposed token Code with exposed token

Collaborer avec les prestataires de services

Une fois que le prestataire de services a validé l’identifiant, il décide s’il convient de révoquer le jeton, d’émettre un nouveau jeton ou de contacter directement un utilisateur.

Garder les jetons GitHub secrets

Lorsqu’un jeton GitHub valide est placé dans un dépôt public, nous le révoquons et en informons le propriétaire du jeton en quelques secondes.

Soutien croissant aux prestataires de services populaires

Popular provider logos

L’analyse de jetons prend en charge les jetons Alibaba Cloud, Atlassian, AWS, Azure, Dropbox, Discord, Google Cloud, Mailgun, npm, Proctorio, Pulumi, Slack, Stripe et Twilio. D’autres sont ajoutés en permanence.

Éliminer les vulnérabilités et leurs variantes avant qu’elles ne deviennent un problème

Ne faites jamais la même erreur deux fois. Les équipes de sécurité s’appuient sur Semmle LGTM pour intégrer la sécurité dans les processus DevOps, ce qui permet à tous les ingénieurs de travailler en toute sécurité.

Vulnerability found with LGTM Deserializing user-controlled data may allow attackers to execute arbitrary code

Trouver et éliminer toutes les variantes de bugs et de vulnérabilités

Analyser plusieurs bases de code à grande échelle En s’appuyant sur les requêtes existantes et en automatisant l’analyse des variantes, les équipes trouvent plus rapidement les vulnérabilités critiques et leurs variantes, même dans les plus grandes bases de code.

Analyser les nouveaux changements pour empêcher les erreurs d’atteindre la production

L’analyse continue du code de LGTM permet d’empêcher les vulnérabilités d’atteindre la production. Pour ce faire, chaque nouveau commit est analysé et le code vulnérable est reconnu dès son check-in.

Sécuriser le développement à chaque étape

LGTM fournit une analyse cohérente à chaque étape du processus de développement en s’intégrant aux IDEs, aux outils de suivi de tickets, aux services CI/CD, etc.

Query language for LGTM

Comparer les plans

Que vous contribuiez à un projet open source ou que vous choisissiez de nouveaux outils pour votre équipe, vos besoins en matière de sécurité sont satisfaits. Souhaitez-vous en savoir plus sur le développement sécurisé au sein de votre entreprise ?

Contactez notre équipe de vente
Feature Free Pro Team Enterprise
Code scanning Included Repositories publics Included Repositories publics Included Repositories publics Contact us
Dependabot security updates Included Included Included Included Enterprise Cloud
GitHub Security Advisories Included Repositories publics Included Repositories publics Included Repositories publics Included Repositories publics Enterprise Cloud
Dependabot alerts Included Included Included Included
Security policies Included Repositories publics Included Repositories publics Included Repositories publics Included Repositories publics Enterprise Cloud
Secret scanning Included Repositories publics Included Repositories publics Included Repositories publics Included Repositories publics Repositories privésBeta Enterprise Cloud
Dependency insights Not included Not included Not included Included Enterprise Cloud
Two-factor Authentication (2FA) Included Included Included Included
WebAuthn & security keys Included Included Included Included
Required 2FA for organizations Not included Not included Included Included
Delegated Account Recovery Included Included Included Not included
Git over Secure Shell (SSH) and HTTPS Included Included Included Included
Git over Secure Shell with Enterprise issued certificate authentication Not included Not included Not included Included
GPG commit-signing verification Included Included Included Included
Security audit log Not included Not included Included Included
SAML Not included Not included Not included Included
LDAP Not included Not included Not included Included
IP allow list Not included Not included Not included Included Enterprise Cloud
Protected branches Included Included Included Included
Required reviews Included Repositories publics Included Included Included
Required status checks Included Repositories publics Included Included Included

Learn more about GitHub Security Lab

Security Lab makes dozens of disclosures every year. Learn more about their security discoveries—or join the Advanced Security Cloud beta.

Explore recent disclosures

Sign up for GitHub Advanced Security

Get our best security tools for teams with Advanced Security, available now for GitHub Enterprise customers.

Contact Sales

Join our beta program

Try our beta features: code scanning and secret scanning, available now as part of Advanced Security for Enterprise Cloud and free for public repositories.

Sign up for the beta