Formation : GitHub Advanced Security (GH-500)

Sécuriser la chaine de développement avec GitHub Advanced Security

GitHub Advanced Security (GHAS) est la suite de sécurité intégrée a GitHub qui permet de détecter les vulnérabilités, les secrets exposes et les dépendances a risque directement dans le flux de développement. Dans un contexte ou les attaques sur la supply chain logicielle se multiplient, la maîtrise de ces outils est devenue indispensable pour les équipes de développement et de sécurité. En Suisse romande, les organisations des secteurs financier, pharmaceutique et technologique exigent de plus en plus la sécurisation du code des la phase de développement (approche shift-left).

Chez ITTA à Genève et Lausanne, la formation GitHub Advanced Security (GH-500) est dispensée en une journée par un formateur specialise. Vous travaillerez directement sur la plateforme GitHub avec des exercices pratiques couvrant l’ensemble des fonctionnalités GHAS.

Code scanning et CodeQL

Le code scanning analyse votre code source pour détecter les vulnérabilités de sécurité et les erreurs de programmation. CodeQL, le moteur d’analyse de GitHub, traite le code comme une base de données interrogeable avec un langage de requêtes dédié. La formation GH-500 vous apprend à configurer le code scanning dans vos workflows GitHub Actions, a interpréter les alertes générées, a comprendre les requêtes CodeQL prédéfinies et a créer des requêtes personnalisées pour détecter des patterns spécifiques à votre organisation.

Vous decouvrirez comment intégrer le code scanning dans le processus de pull request pour bloquer la fusion de code vulnerable, comment prioriser les alertes en fonction de leur sévérité et comment gérer les faux positifs. L’approche shift-left permet de détecter les problèmes de sécurité au plus tot dans le cycle de développement, reduisant considérablement le coût de remédiation.

Secret scanning et protection des credentials

L’exposition accidentelle de secrets (tokens API, clés SSH, mots de passe, certificats) dans le code source est l’une des causes les plus frequentes de compromission. GitHub Secret Scanning détecté automatiquement plus de 200 types de secrets dans les commits et les pull requests. La formation vous apprend a activer et configurer le secret scanning, a définir des patterns personnalisés pour détecter les secrets spécifiques à votre organisation et a mettre en place la push protection qui bloque les commits contenant des secrets avant qu’ils n’atteignent le dépôt.

Dependabot et sécurité de la supply chain

Les dépendances tierces representent une surface d’attaque considerable. Dependabot surveille en permanence les dépendances de vos projets et généré des alertes lorsque des vulnérabilités sont publiees. La formation couvre la configuration de Dependabot pour les alertes de sécurité et les mises à jour automatiques de version. La revue de dépendances dans les pull requests permet de visualiser l’impact des changements de dépendances avant la fusion, identifiant les nouvelles vulnérabilités introduites.

Vous apprendrez a gérer le fichier dependabot.yml pour définir la fréquence des mises à jour, les registres privés et les stratégies de versioning. La combinaison du code scanning, du secret scanning et de Dependabot offre une couverture de sécurité complète pour votre chaine de développement.

Politiques de sécurité organisationnelles

Au niveau de l’organisation GitHub, la formation vous apprend à déployer GitHub Advanced Security de manière structurée. Vous configurerez les paramètres de sécurité par defaut pour les nouveaux dépôts, definirez les politiques d’utilisation de GHAS et mettrez en place un tableau de bord de sécurité organisationnel pour suivre la posture de sécurité de l’ensemble de vos dépôts. Les security advisories permettent de gérer la divulgation responsable des vulnérabilités découvertes dans vos projets.

FAQ

Faut-il une licence GitHub Advanced Security pour suivre la formation ?

L’environnement de formation fournit l’accès aux fonctionnalités GHAS. En production, GitHub Advanced Security est disponible pour les organisations GitHub Enterprise.

Quels langages sont supportes par CodeQL ?

CodeQL supporte les principaux langages : C/C++, C#, Go, Java, JavaScript/TypeScript, Python, Ruby et Swift. La formation utilise des exemples concrets dans plusieurs de ces langages.

La formation est-elle disponible en classe virtuelle ?

Oui. Vous pouvez suivre la formation en presentiel à Genève ou Lausanne, ou en classe virtuelle avec le même formateur et les mêmes exercices pratiques.

Quelle certification obtient-on avec cette formation ?

La formation GH-500 prépare à l’obtention d’un Applied Skill Microsoft qui valide vos compétences en sécurité avancée sur GitHub.

Quelle est la différence entre GH-500 et GH-100 ?

GH-100 couvre l’administration générale de GitHub (organisations, équipes, permissions). GH-500 se concentre spécifiquement sur les fonctionnalités de sécurité avancees : code scanning, secret scanning, Dependabot et les politiques de sécurité.

La formation est-elle utile pour les équipes DevSecOps ?

Absolument. GH-500 est concue pour les équipes qui souhaitent intégrer la sécurité dans leur pipeline de développement. Les compétences acquises sont directement applicables dans une démarche DevSecOps.