Skip to content
Évaluations du risque GitHub Security

Quel est le niveau d’exposition de votre organisation ? Pour le savoir, lancez une évaluation gratuite.

Les évaluations du risque GitHub analysent vos repos pour y détecter les informations de connexion exposées et les vulnérabilités du code afin que vous puissiez évaluer les résultats concrets dans votre propre environnement avant de décider si les produits de sécurité GitHub méritent d’être intégrés.

Évaluation du risque en matière de secret

Trouvez les informations de connexion qui ont fuité dans tous les repos de votre organisation. Observez où elles se situent, quelles catégories se manifestent le plus souvent et combien d’entre elles auraient été prévenues par la protection push.

Évaluation du risque de sécurité du code

Analysez jusqu’à 20 repos les plus actifs de votre organisation. Observez les vulnérabilités selon la gravité, la règle et le langage, ainsi que combien sont éligibles pour une suggestion Copilot Autofix.

Ce que vous constaterez dans vos résultats

Utilisez les résultats pour briefer votre équipe, identifier vos repos les plus à risque et décidez si Secret Protection et Code Security méritent de figurer dans votre stack.

Comment ça marche

Effectuez l’évaluation

L’admin ou le responsable de la sécurité de votre organisation lance l’analyse. L’évaluation du risque en matière de secret examine chaque repo au sein de votre organisation. L’évaluation du risque de sécurité du code analyse jusqu’à 20 repos que vous avez sélectionnés. GitHub vous envoie un e-mail lorsque le rapport est prêt.

GitHub Secret Protection and Code Security settings in a Scan organization dialog, with checkboxes and a Continue button to start the risk assessment.

Examinez les résultats

Ouvrez les onglets Code Security et Secret Protection pour voir les résultats de chaque analyse. L’onglet Secret Protection envoie un flux à mesure que les repos sont traités. L’onglet Code Security se remplit lorsque l’analyse complète est terminée.

GitHub Code Security dashboard showing 20 repositories scanned, 500 vulnerabilities found, and Copilot Autofix 480/500, with breakdowns by language and top repository monalisa-repo.

Décidez la marche à suivre

Les admins d’entreprise éligibles peuvent commencer un essai de GitHub Advanced Security directement à partir de l’évaluation du risque. Si vous n’êtes pas éligible pour un essai en libre-service, vous pouvez activer Secret Protection ou Code Security directement depuis l’évaluation, ou parler avec un expert de GitHub.

Security assessments interface shows Code Security and Secret Protection with scan completed metrics and a Start trial call to action.

Vos repos. Vos résultats. Vous décidez.

Testez votre code réel

La plupart des évaluations de sécurité s’appuient sur des points de référence, des démonstrations ou des tableaux de couverture. L’évaluation consiste à effectuer une analyse de vos propres repos afin de pouvoir en évaluer les résultats en fonction de ce que vos développeurs et développeuses livrent réellement.

Décidez sur la base d’éléments concrets plutôt que des hypothèses

Observez les résultats dans votre propre environnement avant de décider si les produits de sécurité GitHub sont bien adaptés.

Validez ce qui fonctionne, ou trouvez ce qui ne fonctionne pas

L’absence de détection est la preuve que vos pratiques actuelles sont appropriées. Les résultats spécifiques, par exemple les informations de connexion, les vulnérabilités ou les repos affectés, constituent pour vous un plan d’action basé sur des faits.

Décidez en vous basant sur les faits

Effectuez l’évaluation. Examinez les résultats. Décidez la marche à suivre.

Effectuez une évaluation Demander une démonstration

Questions fréquentes

Quels sont les forfaits et les rôles permettant d’effectuer une évaluation du risque de sécurité ?

Les propriétaires et les responsables de la sécurité des organisations sur GitHub Team ou GitHub Enterprise Cloud. L’évaluation du risque de sécurité du code est fournie dans GitHub Enterprise Server 3.22.

Combien coûte l’évaluation du risque de sécurité GitHub ?

Rien. L’évaluation est gratuite et inclut des minutes GitHub Actions utilisées pour exécuter les analyses de code. Rien ne vous sera facturé pour les licences GitHub Code Security ou Secret Protection durant l’évaluation.

Combien de temps prend l’évaluation du risque de sécurité GitHub ?

La plupart des analyses durent moins de 30 minutes. Pour les organisations plus grandes ou complexes, cela peut prendre plus longtemps. GitHub vous envoie un e-mail lorsque le rapport est prêt. L’onglet Secret Protection est mis à jour à mesure que les repos sont analysés et l’onglet Code Security se remplit lorsque l’analyse complète est terminée.

À quelle fréquence est-il possible d’effectuer une évaluation du risque de sécurité GitHub ?

Tous les 90 jours. Vous pouvez à chaque fois modifier les repos qui sont analysés.

Sur quoi porte l’analyse de l’évaluation du risque de sécurité GitHub ?

Sur le plan des secrets, GitHub examine les repos de votre organisation pour y détecter les informations de connexion exposées dans l’ensemble des modèles de fournisseurs et des modèles génériques. S’agissant du code, GitHub analyse jusqu’à 20 repos en utilisant CodeQL, par défaut ceux qui affichent le plus d’activité de commit au cours des 90 derniers jours. Vous pouvez modifier la sélection avant de lancer l’analyse.

L’évaluation GitHub affectera-t-elle mes données d’analyse de code existantes ?

Non. L’évaluation du risque utilise un chemin de téléchargement différent, ne modifie et n’interfère pas avec les alertes d’analyse de code existantes sur vos repos.

Si l’évaluation du risque de sécurité GitHub ne trouve pas d’issue, qu’est-ce que cela signifie ?

C’est bon signe. Vous aurez la preuve que vos pratiques de sécurité actuelles détectent ce qui est important. Effectuez une nouvelle évaluation tous les 90 jours pour confirmer que ça tient la route.

What can I do after reviewing my GitHub security risk assessment results?

Eligible enterprise admins can start a GitHub Advanced Security trial directly from the risk assessment. Depending on your eligibility, you can enable Secret Protection or Code Security, start a GitHub Advanced Security trial, or contact GitHub to speak with an expert. 

GitHub communique-t-il les résultats d’évaluation du risque de sécurité à ses équipes commerciales ?

Uniquement si vous le choisissez. Le cas échéant, vos coordonnées sont communiquées à l’équipe chargée de votre compte afin qu’elle puisse assurer le suivi. Si vous ne le souhaitez pas, l’équipe chargée de votre compte reçoit une notification l’informant que votre organisation a effectué une évaluation, sans informations personnelles ou relatives à l’évaluation jointes.