Identifier
Identifier des vulnérabilités que d’autres outils ne détectent pas
Code QL est le principal moteur d’analyse de code sémantique du marché. Notre approche révolutionnaire consiste à traiter le code comme des données afin d’identifier plus rapidement les vulnérabilités de sécurité.
Traiter le code comme des données
En général, les chercheurs en sécurité découvrent les vulnérabilités en procédant à l’inspection manuelle du code. Code QL, le moteur d’analyse de code sémantique de Semmle, traite le code comme des données grâce à un puissant moteur de requête. Il identifie même les modèles sémantiques les plus complexes à grande échelle et devient plus intelligent au fil du temps.
Un moteur révolutionnaire
CodeQL combine des recherches de pointe en optimisation des compilateurs avec des connaissances clés sur l’implémentation des bases de données, dans un langage déclaratif et orienté objet. Grâce à CodeQL les équipes sécurité peuvent trouver à grande échelle des vulnérabilités que d’autres outils laissent échapper.
Une approche communautaire
Les principaux chercheurs en sécurité codifient les modèles de vulnérabilités sous forme de requêtes Code QL pour partager leur expertise avec le monde entier. CodeQL est livré avec des milliers de requêtes utilisées pour effectuer de l’analyse de variantes, sur lesquelles les développeurs, les mainteneurs et les équipes de sécurité peuvent s’appuyer, y compris pour créer les leurs.
Signaler
Définir le workflow sécurité pour l’open source
L’open source alimente les logiciels du monde entier. GitHub fournit aux chercheurs en sécurité et aux mainteneurs open source les infrastructures dont ils ont besoin pour signaler les vulnérabilités de sécurité.
Un signalement responsable des vulnérabilités
Les mainteneurs Open Source définissent des politiques de sécurité pour leurs projets, ce qui permet à leurs communautés de connaître le meilleur moyen de signaler les vulnérabilités de manière responsable.
Des politiques de sécurité à l’échelle de l’entreprise
Le fichier SECURITY.MD d’un dépôt décrit tout ce dont les chercheurs et les utilisateurs ont besoin pour signaler une vulnérabilité potentielle. Les mainteneurs peuvent créer des politiques par projet ou appliquer automatiquement une politique de sécurité à chaque dépôt au sein de leur entreprise.
Corriger
Avis de sécurité des mainteneurs
Les mainteneurs Open Source disposent d’un espace privé et sécurisé qui leur permet de travailler ensemble sur les vulnérabilités. Ils collaborent sur des correctifs et publient des avis de sécurité destinés à la communauté de personnes qui dépendent de leurs projets. Ils le font sans toutefois quitter GitHub, et hors de vue des pirates potentiels.
Collaboration privée entre les mainteneurs
Avant d’envoyer des avis publics, les mainteneurs discutent en privé de l’impact d’une vulnérabilité dans des avis préliminaires. Ils collaborent dans des forks privées temporaires, puis publient des avis pour alerter et mettre à jour l’ensemble de l’écosystème.
Sécuriser les dépôts tous ceux qui en dépendent
Depuis le lancement des avis de sécurité en 2019, les projets open source se sont appuyés sur GitHub pour publier des avis de sécurité et informer tous les dépôts dépendants.
Nouveaux enregistrements CVE de GitHub
Les alertes de sécurité provenant d’éléments de la liste CVE contiennent un lien vers l’enregistrement CVE avec plus de détails sur la vulnérabilité. Pour les nouvelles vulnérabilités, GitHub crée un nouvel enregistrement pour informer la communauté de la sécurité.
Alerter
Alertes de sécurité
GitHub examine chaque vulnérabilité de sécurité pour identifier et signaler les dépôts affectés. Nous nous procurons nos renseignements sur les vulnérabilités auprès d’experts du secteur afin de fournir aux propriétaires de projets les détails dont ils ont besoin pour comprendre les risques auxquels ils sont exposés et y remédier.
Données sur les vulnérabilités fondées sur les recherches
GitHub surveille les vulnérabilités présentes dans les paquets provenant des gestionnaires de paquets pris en charge. Pour ce faire, il utilise des données recueillies auprès des chercheurs en sécurité, des mainteneurs, de la National Vulnerability Database - incluant les release notes, changelog et les détails des commit.
Aider tout le monde à rester en sécurité
GitHub analyse en permanence les avis de sécurité pour les langages populaires. Nous envoyons des alertes de sécurité aux mainteneurs des dépôts affectés avec des détails sur le niveau de gravité et un lien vers des fichiers pertinents.
Mettre à jour
Mettre automatiquement à jour les dépendances vulnérables
L’identification des vulnérabilités de sécurité ne constitue que la moitié du défi à relever. Cependant, les propriétaires de projets peuvent mettre à jour, plus rapidement que jamais, les dépendances vulnérables grâce à Dependabot.
Des pull requests automatisées pour les mises à jour de sécurité
Les mises à jour de sécurité automatisées assurent la sécurité en ouvrant automatiquement les pull requests pour mettre à jour les dépendances vers la version minimale qui résout la vulnérabilité. Les scores de compatibilité basés sur des tests effectués par la communauté aident les mainteneurs à fusionner les mises à jour en toute confiance.
Protéger les bases de code contre les nouvelles vulnérabilités
Le fait de maintenir le code à jour n’est pas suffisant pour sécuriser l’open source pour tous. Nous travaillons avec des chercheurs en sécurité, des mainteneurs et des développeurs pour empêcher de nouvelles vulnérabilités de pénétrer dans des projets logiciels.
Prévenir
Analyse automatique des jetons
Chaque développeur doit gérer ses identifiants. GitHub recherche les jetons exposés accidentellement dans des dépôts publics, puis alerte le fournisseur en quelques secondes afin qu’il puisse les révoquer ou en informer le propriétaire, selon le cas.
Collaborer avec les prestataires de services
Une fois que le prestataire de services a validé l’identifiant, il décide s’il convient de révoquer le jeton, d’émettre un nouveau jeton ou de contacter directement un utilisateur.
Garder les jetons GitHub secrets
Lorsqu’un jeton GitHub valide est placé dans un dépôt public, nous le révoquons et en informons le propriétaire du jeton en quelques secondes.
Soutien croissant aux prestataires de services populaires
L’analyse de jetons prend en charge les jetons Alibaba Cloud, Atlassian, AWS, Azure, Dropbox, Discord, Google Cloud, Mailgun, npm, Proctorio, Pulumi, Slack, Stripe et Twilio. D’autres sont ajoutés en permanence.
Éliminer les vulnérabilités et leurs variantes avant qu’elles ne deviennent un problème
Ne faites jamais la même erreur deux fois. Les équipes de sécurité s’appuient sur Semmle LGTM pour intégrer la sécurité dans les processus DevOps, ce qui permet à tous les ingénieurs de travailler en toute sécurité.
Trouver et éliminer toutes les variantes de bugs et de vulnérabilités
Analyser plusieurs bases de code à grande échelle En s’appuyant sur les requêtes existantes et en automatisant l’analyse des variantes, les équipes trouvent plus rapidement les vulnérabilités critiques et leurs variantes, même dans les plus grandes bases de code.
Analyser les nouveaux changements pour empêcher les erreurs d’atteindre la production
L’analyse continue du code de LGTM permet d’empêcher les vulnérabilités d’atteindre la production. Pour ce faire, chaque nouveau commit est analysé et le code vulnérable est reconnu dès son check-in.
Sécuriser le développement à chaque étape
LGTM fournit une analyse cohérente à chaque étape du processus de développement en s’intégrant aux IDEs, aux outils de suivi de tickets, aux services CI/CD, etc.
Comparer les plans
Que vous contribuiez à un projet open source ou que vous choisissiez de nouveaux outils pour votre équipe, vos besoins en matière de sécurité sont satisfaits. Souhaitez-vous en savoir plus sur le développement sécurisé au sein de votre entreprise ?
Contactez notre équipe de vente| Feature | Free | Pro | Team | Enterprise |
|---|---|---|---|---|
| Code scanning |
Repositories publics
|
Repositories publics
|
Repositories publics
|
Contact us |
| Dependabot security updates |
|
|
|
Enterprise Cloud
|
| GitHub Security Advisories |
Repositories publics
|
Repositories publics
|
Repositories publics
|
Repositories publics
Enterprise Cloud
|
| Dependabot alerts |
|
|
|
|
| Security policies |
Repositories publics
|
Repositories publics
|
Repositories publics
|
Repositories publics
Enterprise Cloud
|
| Secret scanning |
Repositories publics
|
Repositories publics
|
Repositories publics
|
Repositories publics
Repositories privésBeta
Enterprise Cloud
|
| Dependency insights |
|
|
|
Enterprise Cloud
|
| Two-factor Authentication (2FA) |
|
|
|
|
| WebAuthn & security keys |
|
|
|
|
| Required 2FA for organizations |
|
|
|
|
| Delegated Account Recovery |
|
|
|
|
| Git over Secure Shell (SSH) and HTTPS |
|
|
|
|
| Git over Secure Shell with Enterprise issued certificate authentication |
|
|
|
|
| GPG commit-signing verification |
|
|
|
|
| Security audit log |
|
|
|
|
| SAML |
|
|
|
|
| LDAP |
|
|
|
|
| IP allow list |
|
|
|
Enterprise Cloud
|
| Protected branches |
|
|
|
|
| Required reviews |
Repositories publics
|
|
|
|
| Required status checks |
Repositories publics
|
|
|
|
Learn more about GitHub Security Lab
Security Lab makes dozens of disclosures every year. Learn more about their security discoveries—or join the Advanced Security Cloud beta.
Explore recent disclosuresSign up for GitHub Advanced Security
Get our best security tools for teams with Advanced Security, available now for GitHub Enterprise customers.
Contact SalesJoin our beta program
Try our beta features: code scanning and secret scanning, available now as part of Advanced Security for Enterprise Cloud and free for public repositories.
Sign up for the beta