L’admin ou le responsable de la sécurité d’une organisation lance l’analyse. L’évaluation du risque en matière de secret examine chaque repo de votre organisation, tandis que l’évaluation du risque de sécurité du code analyse jusqu’à 20 repos de votre choix. GitHub vous envoie un e-mail lorsque vos résultats sont prêts.

Quel est le niveau d’exposition de votre organisation ? Pour le savoir, lancez une évaluation gratuite.
L’évaluation du risque de GitHub analyse vos repos pour y détecter les informations de connexion exposées et les vulnérabilités du code, ce qui fournit à votre équipe les informations nécessaires pour comprendre le risque actuel et définir les priorités s’agissant de ce qui doit être traité ensuite.

Évaluation du risque en matière de secret
Analysez vos repos afin de détecter les informations de connexion ayant fuité et voir où sont les secrets, quels sont les types les plus courants et où la protection peut atténuer le risque.
Évaluation du risque de sécurité du code
Analysez jusqu’à 20 repos actifs pour identifier les vulnérabilités, comprendre le risque en fonction de la gravité et savoir où Copilot Autofix est susceptible d’aider à accélérer la remédiation.
Ce que vous constaterez dans vos résultats
Une image claire de l’exposition de votre organisation pour vous permettre de comprendre où en est le risque actuellement, de vous aligner sur les priorités et de prendre de meilleures décisions professionnelles.
Comment ça marche
Effectuez l’évaluation

Examinez les résultats
Ouvrez les onglets Code Security et Secret Protection pour examiner les résultats de chaque évaluation. Les résultats de Secret Protection s’affichent à mesure que les repos sont traités, tandis que les résultats de Code Security sont disponibles une fois l’analyse complète terminée.

Passez à l’étape suivante
Les admins d’entreprise éligibles peuvent commencer un essai de GitHub Advanced Security directement à partir de l’évaluation du risque. Si vous n’êtes pas éligible pour un essai en libre-service, vous pouvez activer Secret Protection ou Code Security directement depuis l’évaluation, ou parler avec un expert de GitHub.

Vos repos. Vos résultats. Vous décidez.
Testez votre code réel
La plupart des évaluations de sécurité s’appuient sur des points de référence, des démonstrations ou des tableaux de couverture. L’évaluation consiste à effectuer une analyse de vos propres repos afin de pouvoir en évaluer les résultats en fonction de ce que vos développeurs et développeuses livrent réellement.
Décidez sur la base d’éléments concrets plutôt que des hypothèses
Observez les résultats dans votre propre environnement avant de décider si les produits de sécurité GitHub sont bien adaptés.
Validez ce qui fonctionne et trouvez ce qui ne fonctionne pas
L’absence de détection est la preuve que vos pratiques actuelles sont appropriées. Les résultats spécifiques, par exemple les informations de connexion, les vulnérabilités ou les repos affectés, constituent pour vous un plan d’action basé sur des faits.
Décidez en vous basant sur les faits
Effectuez l’évaluation. Examinez les résultats. Décidez la marche à suivre.
Questions fréquentes
Quels sont les forfaits et les rôles permettant d’effectuer une évaluation du risque de sécurité ?
Les propriétaires et les responsables de la sécurité des organisations sur GitHub Team ou GitHub Enterprise Cloud. L’évaluation du risque de sécurité du code est fournie dans GitHub Enterprise Server 3.23.
Combien coûte l’évaluation du risque de sécurité GitHub ?
Rien. L’évaluation est gratuite et inclut des minutes GitHub Actions utilisées pour exécuter les analyses de code. Rien ne vous sera facturé pour les licences GitHub Code Security ou Secret Protection durant l’évaluation.
Combien de temps prend l’évaluation du risque de sécurité GitHub ?
La plupart des analyses durent moins de 30 minutes. Pour les organisations plus grandes ou complexes, cela peut prendre plus longtemps. GitHub vous envoie un e-mail lorsque le rapport est prêt. L’onglet Secret Protection est mis à jour à mesure que les repos sont analysés et l’onglet Code Security se remplit lorsque l’analyse complète est terminée.
À quelle fréquence est-il possible d’effectuer une évaluation du risque de sécurité GitHub ?
Tous les 90 jours. Vous pouvez à chaque fois modifier les repos qui sont analysés.
Sur quoi porte l’analyse de l’évaluation du risque de sécurité GitHub ?
Sur le plan des secrets, GitHub examine les repos de votre organisation pour y détecter les informations de connexion exposées dans l’ensemble des modèles de fournisseurs et des modèles génériques. S’agissant du code, GitHub analyse jusqu’à 20 repos en utilisant CodeQL, par défaut ceux qui affichent le plus d’activité de commit au cours des 90 derniers jours. Vous pouvez modifier la sélection avant de lancer l’analyse.
L’évaluation GitHub affectera-t-elle mes données d’analyse de code existantes ?
Non. L’évaluation du risque utilise un chemin de téléchargement différent, ne modifie et n’interfère pas avec les alertes d’analyse de code existantes sur vos repos.
Si l’évaluation du risque de sécurité GitHub ne trouve pas d’issue, qu’est-ce que cela signifie ?
C’est bon signe. Vous aurez la preuve que vos pratiques de sécurité actuelles détectent ce qui est important. Effectuez une nouvelle évaluation tous les 90 jours pour confirmer que ça tient la route.
Que puis-je faire après avoir examiné mes résultats d’évaluation du risque de sécurité de GitHub ?
Les admins d’entreprise éligibles peuvent commencer un essai de GitHub Advanced Security directement à partir de l’évaluation du risque. En fonction de votre éligibilité, vous pouvez activer Secret Protection ou Code Security, commencer un essai de GitHub Advanced Security ou contacter GitHub pour parler avec un expert.
GitHub communique-t-il les résultats d’évaluation du risque de sécurité à ses équipes commerciales ?
Uniquement si vous le choisissez. Le cas échéant, vos coordonnées sont communiquées à l’équipe chargée de votre compte afin qu’elle puisse assurer le suivi. Si vous ne le souhaitez pas, l’équipe chargée de votre compte reçoit une notification l’informant que votre organisation a effectué une évaluation, sans informations personnelles ou relatives à l’évaluation jointes.