Que nous soyons développeurs, mainteneurs, chercheurs ou membre d’une équipe de sécurité, nous jouons tous un rôle dans la sécurisation du code mondial. Sur GitHub, les équipes de développement du monde entier peuvent travailler ensemble pour sécuriser, du fork jusqu’à la livraison, la chaîne d’approvisionnement en logiciels.
Prêt à discuter des fonctions de sécurité avancées pour GitHub Enterprise ?
Contactez notre équipe de venteCode QL est le principal moteur d’analyse de code sémantique du marché. Notre approche révolutionnaire consiste à traiter le code comme des données afin d’identifier plus rapidement les vulnérabilités de sécurité.
En général, les chercheurs en sécurité découvrent les vulnérabilités en procédant à l’inspection manuelle du code. Code QL, le moteur d’analyse de code sémantique de Semmle, traite le code comme des données grâce à un puissant moteur de requête. Il identifie même les modèles sémantiques les plus complexes à grande échelle et devient plus intelligent au fil du temps.
CodeQL combine des recherches de pointe en optimisation des compilateurs avec des connaissances clés sur l’implémentation des bases de données, dans un langage déclaratif et orienté objet. Grâce à CodeQL les équipes sécurité peuvent trouver à grande échelle des vulnérabilités que d’autres outils laissent échapper.
Les principaux chercheurs en sécurité codifient les modèles de vulnérabilités sous forme de requêtes Code QL pour partager leur expertise avec le monde entier. CodeQL est livré avec des milliers de requêtes utilisées pour effectuer de l’analyse de variantes, sur lesquelles les développeurs, les mainteneurs et les équipes de sécurité peuvent s’appuyer, y compris pour créer les leurs.
L’open source alimente les logiciels du monde entier. GitHub fournit aux chercheurs en sécurité et aux mainteneurs open source les infrastructures dont ils ont besoin pour signaler les vulnérabilités de sécurité.
Les mainteneurs Open Source définissent des politiques de sécurité pour leurs projets, ce qui permet à leurs communautés de connaître le meilleur moyen de signaler les vulnérabilités de manière responsable.
Le fichier SECURITY.MD d’un dépôt décrit tout ce dont les chercheurs et les utilisateurs ont besoin pour signaler une vulnérabilité potentielle. Les mainteneurs peuvent créer des politiques par projet ou appliquer automatiquement une politique de sécurité à chaque dépôt au sein de leur entreprise.
Les mainteneurs Open Source disposent d’un espace privé et sécurisé qui leur permet de travailler ensemble sur les vulnérabilités. Ils collaborent sur des correctifs et publient des avis de sécurité destinés à la communauté de personnes qui dépendent de leurs projets. Ils le font sans toutefois quitter GitHub, et hors de vue des pirates potentiels.
Avant d’envoyer des avis publics, les mainteneurs discutent en privé de l’impact d’une vulnérabilité dans des avis préliminaires. Ils collaborent dans des forks privées temporaires, puis publient des avis pour alerter et mettre à jour l’ensemble de l’écosystème.
Depuis le lancement des avis de sécurité en 2019, les projets open source se sont appuyés sur GitHub pour publier des avis de sécurité et informer tous les dépôts dépendants.
Les alertes de sécurité provenant d’éléments de la liste CVE contiennent un lien vers l’enregistrement CVE avec plus de détails sur la vulnérabilité. Pour les nouvelles vulnérabilités, GitHub crée un nouvel enregistrement pour informer la communauté de la sécurité.
GitHub examine chaque vulnérabilité de sécurité pour identifier et signaler les dépôts affectés. Nous nous procurons nos renseignements sur les vulnérabilités auprès d’experts du secteur afin de fournir aux propriétaires de projets les détails dont ils ont besoin pour comprendre les risques auxquels ils sont exposés et y remédier.
GitHub surveille les vulnérabilités présentes dans les paquets provenant des gestionnaires de paquets pris en charge. Pour ce faire, il utilise des données recueillies auprès des chercheurs en sécurité, des mainteneurs, de la National Vulnerability Database - incluant les release notes, changelog et les détails des commit.
GitHub analyse en permanence les avis de sécurité pour les langages populaires. Nous envoyons des alertes de sécurité aux mainteneurs des dépôts affectés avec des détails sur le niveau de gravité et un lien vers des fichiers pertinents.
L’identification des vulnérabilités de sécurité ne constitue que la moitié du défi à relever. Cependant, les propriétaires de projets peuvent mettre à jour, plus rapidement que jamais, les dépendances vulnérables grâce à Dependabot.
Les mises à jour de sécurité automatisées assurent la sécurité en ouvrant automatiquement les pull requests pour mettre à jour les dépendances vers la version minimale qui résout la vulnérabilité. Les scores de compatibilité basés sur des tests effectués par la communauté aident les mainteneurs à fusionner les mises à jour en toute confiance.
Le fait de maintenir le code à jour n’est pas suffisant pour sécuriser l’open source pour tous. Nous travaillons avec des chercheurs en sécurité, des mainteneurs et des développeurs pour empêcher de nouvelles vulnérabilités de pénétrer dans des projets logiciels.
Chaque développeur doit gérer ses identifiants. GitHub recherche les jetons exposés accidentellement dans des dépôts publics, puis alerte le fournisseur en quelques secondes afin qu’il puisse les révoquer ou en informer le propriétaire, selon le cas.
Une fois que le prestataire de services a validé l’identifiant, il décide s’il convient de révoquer le jeton, d’émettre un nouveau jeton ou de contacter directement un utilisateur.
Lorsqu’un jeton GitHub valide est placé dans un dépôt public, nous le révoquons et en informons le propriétaire du jeton en quelques secondes.
L’analyse de jetons prend en charge les jetons Alibaba Cloud, Atlassian, AWS, Azure, Dropbox, Discord, Google Cloud, Mailgun, npm, Proctorio, Pulumi, Slack, Stripe et Twilio. D’autres sont ajoutés en permanence.
Ne faites jamais la même erreur deux fois. Les équipes de sécurité s’appuient sur Semmle LGTM pour intégrer la sécurité dans les processus DevOps, ce qui permet à tous les ingénieurs de travailler en toute sécurité.
Analyser plusieurs bases de code à grande échelle En s’appuyant sur les requêtes existantes et en automatisant l’analyse des variantes, les équipes trouvent plus rapidement les vulnérabilités critiques et leurs variantes, même dans les plus grandes bases de code.
L’analyse continue du code de LGTM permet d’empêcher les vulnérabilités d’atteindre la production. Pour ce faire, chaque nouveau commit est analysé et le code vulnérable est reconnu dès son check-in.
LGTM fournit une analyse cohérente à chaque étape du processus de développement en s’intégrant aux IDEs, aux outils de suivi de tickets, aux services CI/CD, etc.
Que vous contribuiez à un projet open source ou que vous choisissiez de nouveaux outils pour votre équipe, vos besoins en matière de sécurité sont satisfaits. Souhaitez-vous en savoir plus sur le développement sécurisé au sein de votre entreprise ?
Contactez notre équipe de venteFonctions | Free | Pro | Team | Enterprise |
---|---|---|---|---|
Code scanning |
|
|
|
Contactez-nous |
Mises à jour de sécurité par Dependabot |
|
|
|
|
GitHub Security Advisories |
|
|
|
|
Alertes de Dependabot |
|
|
|
|
Politiques de sécurité |
|
|
|
|
Secret scanning |
|
|
|
|
Aperçu des dépendances |
|
|
|
|
Authentification à deux facteurs (2FA) |
|
|
|
|
WebAuthn et clés de sécurité |
|
|
|
|
Authentification à deux facteurs (2FA) requis pour les organisations |
|
|
|
|
Recouvrement de comptes par délégation |
|
|
|
|
Git via Secure Shell (SSH) et HTTPS |
|
|
|
|
Git via Secure Shell (SSH) avec authentification par certificat délivrée par l'entreprise |
|
|
|
|
Validation des commits signés par le GPG |
|
|
|
|
Journal d'audit de sécurité |
|
|
|
|
SAML |
|
|
|
|
LDAP |
|
|
|
|
Liste des autorisations IP |
|
|
|
|
Branches protégées |
|
|
|
|
Examens requis |
|
|
|
|
Contrôles de statuts requis |
|
|
|
|
GitHub Security Lab fait des dizaines d'annonces chaque année. Découvrez leurs découvertes en matière de sécurité ou participez à la version bêta de l'Advanced Security Cloud.
Voir les informations récentes sur la vulnérabilitéObtenez nos meilleurs outils de sécurité pour les équipes avec Advanced Security, disponible dès maintenant pour les clients de GitHub Enterprise.
Contacter le service commercial