Accueil · Guides de révision · GH-500

Guide complet GH-500 — GitHub (Microsoft)

GitHub Advanced Security · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

GH-500 GitHub Advanced Security certifie les ingenieurs DevSecOps capables de deployer et gerer GHAS sur GitHub Enterprise. Examen QCM/scenarios de 90 minutes, 70% requis, 165 USD. Prerequis : 6 mois d'experience GitHub Actions, notions AppSec (SAST/SCA/secrets). Debouches : DevSecOps Engineer, AppSec Specialist, Security Champion. Specialty cert tres demandee depuis l'integration GHAS dans Microsoft Defender en 2025.

Pourquoi passer la certification GH-500 ?

Passer GH-500 en 2026 est strategique car GitHub Advanced Security est devenue la plateforme AppSec de reference chez Microsoft, integree nativement a Defender for Cloud et Sentinel. Avec l'entree en vigueur du Cyber Resilience Act europeen (CRA) en decembre 2027, toutes les entreprises editrices de logiciels doivent prouver une chaine d'approvisionnement securisee : SBOM, scan de dependances, gestion des secrets. GHAS coche toutes ces cases et les entreprises recrutent massivement des specialistes capables de l'operationnaliser. C'est l'une des trois seules certifications GitHub specialty et la plus valorisee sur LinkedIn (croissance +180% des offres mentionnant GHAS entre 2024 et 2026). Le ROI est rapide : 165 USD d'examen contre une augmentation moyenne de 6 000 a 12 000 EUR sur le salaire annuel. Sur le CV, elle differencie d'un profil DevOps generique en demontrant une expertise verticale CodeQL, Dependabot, secret scanning et supply chain (SLSA, Sigstore). Elle complete parfaitement AZ-400 ou les certifications CKS/CKAD pour viser des roles Platform Security Engineer dans des contextes cloud-native modernes.

Caractéristiques de l'examen

Format QCM et scenarios, 75 questions
Duree 120 minutes
Score requis 70%
Prix officiel 165 USD (env. 155 EUR)
Langues Anglais (japonais partiel)
Validite 2 ans (recertification requise)
Prerequis 6 mois GitHub Actions + bases AppSec recommandees

Programme détaillé par domaine

Domain 1 : Code Scanning avec CodeQL 35%

Objectifs
Maitriser l'activation et la configuration du code scanning sur des depots multi-langages, comprendre l'architecture de CodeQL (extraction, base de donnees, requetes QL), savoir interpreter les alertes, configurer les workflows default setup vs advanced setup, et personnaliser les analyses. Gerer le triage des vulnerabilites (dismiss, fix, false positive), configurer les protections de branches pour bloquer les PR vulnerables, et integrer le code scanning aux pull requests via les security checks.
Concepts clés
CodeQL CLI, requetes QL personnalisees, query packs (security-extended, security-and-quality), SARIF format, autobuild vs manual build, matrix builds pour monorepos, code scanning API, default setup vs advanced setup YAML. Comprendre la difference entre les severites (critical/high/medium/low) et les security severities (CVSS). Notion de path filters, paths-ignore, languages supportes (C/C++, C#, Go, Java/Kotlin, JavaScript/TypeScript, Python, Ruby, Swift). Concept de baseline et de diff scanning sur les PR.
Services / outils
github/codeql-action, actions/checkout, CodeQL bundle, third-party SARIF uploaders (Snyk, Checkmarx, Semgrep). Endpoints REST /code-scanning/alerts, integration avec Defender for Cloud DevOps security.
Temps estimé
15h

Domain 2 : Secret Scanning 20%

Objectifs
Configurer secret scanning et push protection sur les depots publics et prives (Enterprise). Comprendre le catalogue de patterns partenaires, definir des custom patterns avec regex, gerer les alertes et les bypasses. Mettre en place le validity check pour les tokens cloud (AWS, Azure, GCP). Configurer les delegated alert dismissal et la remediation automatique via revoke API. Auditer les secrets historiques avec git filter-repo apres rotation.
Concepts clés
Push protection, validity check, custom patterns (secret format, before/after secret, match requirements), partner program, non-provider patterns, generic secrets (passwords/AI), delegated bypass, security overview metrics. Notion de secret historique vs commit en cours, dry-run sur custom patterns.
Services / outils
GitHub Secret Scanning API, GitHub App Token revocation, integrations HashiCorp Vault, Azure Key Vault, AWS Secrets Manager via OIDC pour eviter les secrets en clair.
Temps estimé
8h

Domain 3 : Supply Chain Security et Dependabot 20%

Objectifs
Securiser la chaine d'approvisionnement logicielle : activer la dependency graph, configurer Dependabot alerts, security updates et version updates. Maitriser le dependency review action sur les PR, generer et signer des SBOM (CycloneDX, SPDX). Comprendre les advisories GitHub (GHSA) et le lien avec la base CVE/NVD. Gerer les private vulnerability reporting pour les mainteneurs OSS.
Concepts clés
dependabot.yml (package-ecosystem, schedule, groups, allow/ignore), grouped updates, auto-merge securise, dependency review API, SBOM export, GHSA identifiers, CVSS v3.1, EPSS scoring. Notion de transitive dependencies, lockfile vs manifest, ecosystem coverage (npm, pip, Maven, Gradle, NuGet, Go modules, Cargo, Composer).
Services / outils
Dependabot, dependency-review-action, advisory database, npm/pip/maven registries, OpenSSF Scorecard integration, Sigstore cosign pour la signature d'artefacts.
Temps estimé
10h

Domain 4 : Securite des GitHub Actions 15%

Objectifs
Securiser les workflows CI/CD : minimiser les permissions GITHUB_TOKEN, utiliser OIDC pour federer l'identite vers AWS/Azure/GCP au lieu de PAT, epingler les actions par SHA, restreindre les actions autorisees au niveau enterprise/organisation. Proteger les environnements de deploiement avec required reviewers et wait timers. Detecter le risque de pwn requests sur pull_request_target.
Concepts clés
GITHUB_TOKEN scope, permissions key, OIDC trust policies, reusable workflows, composite actions, environment protection rules, allowed actions list, SHA pinning vs version tag, script injection via inputs, untrusted checkout pattern.
Services / outils
actions/configure-aws-credentials, azure/login, google-github-actions/auth, StepSecurity Harden-Runner, allstar policy bot.
Temps estimé
8h

Domain 5 : Administration GHAS et Security Overview 10%

Objectifs
Activer GHAS au niveau Enterprise, comprendre la facturation par committer actif unique, gerer les licences via policies. Utiliser Security Overview pour piloter la posture securite multi-depots (risk view, coverage view, alerts view). Configurer security campaigns pour orchestrer la remediation a l'echelle. Exporter les donnees vers SIEM via audit log streaming.
Concepts clés
Active committer, GHAS billing, enterprise policies, security managers role, security campaigns, autofix avec Copilot Autofix, audit log streaming (Splunk, Azure Event Hubs, Datadog), SCIM, compliance reports.
Services / outils
Security Overview, Copilot Autofix, Microsoft Defender for Cloud DevOps connector, Azure Monitor, audit log API.
Temps estimé
6h

Plan de révision hebdomadaire

Semaine 1 - Fondations : lire la documentation officielle docs.github.com/code-security en integralite, creer un compte trial GitHub Enterprise Cloud (30 jours), activer GHAS sur un depot demo. Cartographier les 5 domaines avec la fiche d'objectifs officielle Microsoft Learn GH-500. Temps : 8h. Semaine 2 - Code Scanning : suivre le module Microsoft Learn 'Configure code scanning' et installer CodeQL CLI en local. Ecrire 3 requetes QL personnalisees (taint tracking JavaScript, sink Java, source Python). Pratiquer le default setup vs advanced setup sur un monorepo multi-langages. Temps : 12h. Semaine 3 - Secrets et Supply Chain : creer 5 custom patterns regex, tester push protection avec git push reject. Configurer dependabot.yml avec groups et auto-merge sur un projet npm + Python. Generer un SBOM CycloneDX et le signer avec cosign. Temps : 10h. Semaine 4 - Actions Security : refactorer 3 workflows GitHub Actions en migrant PAT vers OIDC Azure et AWS, epingler toutes les actions par SHA, ajouter Harden-Runner. Etudier les CVE recentes liees a pull_request_target. Temps : 10h. Semaine 5 - Administration et examens blancs : explorer Security Overview sur une organisation de demo, configurer audit log streaming vers Azure Event Hubs. Passer 2 examens blancs (Whizlabs et MeasureUp) avec analyse detaillee des erreurs. Temps : 10h. Semaine 6 - Revision finale : refaire les flashcards des termes techniques, relire les notes sur points faibles, dormir 8h la veille, reserver l'examen via Pearson VUE le matin a jeun.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

Documentation officielle GitHub Security

Source canonique : couvre code scanning, secret scanning, Dependabot, supply chain, GHAS admin. A lire en entier avant l'examen.

Microsoft Learn - GitHub Advanced Security

Parcours officiel preparant GH-500 avec modules theoriques et labs guides. Aligne sur le syllabus 2026.

GitHub Skills - Security Labs

Labs interactifs gratuits dans GitHub : Introduction to CodeQL, Secret Scanning, Dependabot. Pratique indispensable.

Communaute GitHub Community Discussions

Forum officiel pour poser des questions techniques, retours d'experience candidats GH-500 et threads sur custom patterns.

5 erreurs classiques à éviter

  • Erreur 1 : Confondre default setup et advanced setup CodeQL - le default setup ne permet pas les custom queries ni les builds personnalises. L'examen teste souvent ce choix architectural. Maitriser quand basculer.
  • Erreur 2 : Negliger les custom patterns secret scanning - beaucoup de candidats survolent la syntaxe regex et les match requirements. Pratiquer la creation de patterns avec before/after secret est crucial.
  • Erreur 3 : Sous-estimer OIDC dans GitHub Actions - migrer de PAT/secrets vers OIDC federation est le sujet le plus pondere du domaine Actions Security. Comprendre les trust policies AWS et Azure federated credentials.
  • Erreur 4 : Oublier le modele de facturation GHAS - l'examen pose des questions sur l'active committer unique et la difference Enterprise Cloud vs Server. Reviser la grille de licensing 2026.
  • Erreur 5 : Ignorer pull_request_target - ne pas comprendre la difference avec pull_request expose a des questions pieges sur les pwn requests et l'injection de code dans les workflows forks.

5 questions types corrigées

Q1. Vous voulez bloquer le push de tout commit contenant une cle AWS dans une organisation GitHub Enterprise. Quelle fonctionnalite activez-vous ?
Réponse : B
Push protection est la fonctionnalite de secret scanning qui inspecte les commits avant qu'ils soient pousses et bloque les patterns partenaires comme AWS_ACCESS_KEY_ID. Elle se configure au niveau organisation ou depot. Dependabot gere les dependances vulnerables, branch protection les signatures GPG, et CodeQL analyse le code source mais ne bloque pas les secrets. C'est une question classique sur la difference entre detection (secret scanning historique) et prevention (push protection).
Q2. Dans un workflow GitHub Actions deployant vers Azure, quelle approche minimise le risque de fuite de credentials ?
Réponse : C
OIDC federation permet a GitHub Actions d'obtenir un token Azure AD ephemere sans stocker de secret long-terme. azure/login configure le trust avec une federated credential ciblant le repository et le branch. Cette approche elimine la rotation manuelle et le risque d'exfiltration. Les options A et B reposent sur des secrets persistants, et D est une mauvaise pratique meme avec chiffrement at-rest. OIDC est tres pondere dans le domaine Actions Security du GH-500.
Q3. Quel fichier configure le scan automatique des dependances npm chaque lundi avec regroupement des mises a jour mineures ?
Réponse : B
dependabot.yml definit package-ecosystem: npm, schedule.interval: weekly avec day: monday, et la cle groups permet de regrouper les patches et minor updates en une seule PR. codeql-config.yml configure CodeQL, security.yml est un workflow Actions, et SECURITY.md est la policy de reporting de vulnerabilites. Les grouped updates sont une fonctionnalite cle introduite en 2023 et tres testee pour reduire la PR fatigue tout en maintenant la posture securite.

Voir plus de questions gratuites →

Carrière & salaire après GH-500

En France et UE en 2026, un DevSecOps Engineer certifie GH-500 touche entre 55 000 et 80 000 EUR brut annuel en junior/mid, 80 000 a 110 000 EUR en senior, et 110 000 a 140 000 EUR en lead/principal. Les profils GHAS sont particulierement recherches dans la fintech (Qonto, Swile), le SaaS (Datadog, Doctolib) et les ESN cloud-native (Devoteam, Zenika). Evolution naturelle : Platform Security Engineer, AppSec Lead, puis Head of Product Security. Certifications complementaires recommandees : AZ-400 (DevOps Microsoft), CKS (Kubernetes Security), OSCP pour le pivot offensive, ou CISSP pour les roles managériaux. Le combo GH-500 + AZ-500 ouvre les portes des grands comptes Microsoft.

Détail des salaires GH-500 en 2026 →

FAQ — GH-500

Combien de temps faut-il pour preparer GH-500 ?

Entre 40 et 60 heures sur 5 a 6 semaines pour un profil ayant deja pratique GitHub Actions. Comptez 80 a 100 heures si vous decouvrez GHAS, en incluant les labs CodeQL et la pratique des custom patterns.

Cette certification est-elle reconnue en France ?

Oui, fortement. GHAS est la solution AppSec dominante dans l'ecosysteme Microsoft/GitHub utilise par la majorite des entreprises tech francaises. La certification est mentionnee dans plus de 30% des offres DevSecOps senior sur LinkedIn France en 2026.

Quel est le taux de reussite a GH-500 ?

Environ 55 a 60% au premier passage selon les statistiques communautaires non officielles. Le taux monte a 85% avec une preparation pratique incluant les labs CodeQL et au moins deux examens blancs MeasureUp.

Quel est le salaire apres GH-500 ?

L'augmentation moyenne constatee est de 8 000 a 12 000 EUR brut annuel. Un mid-level DevSecOps passe typiquement de 60 000 a 72 000 EUR apres certification, surtout en combinant avec une experience GHAS concrete sur 6 a 12 mois.

Faut-il une experience prealable ?

Pas de prerequis formel, mais GitHub recommande 6 mois d'experience GitHub Actions et des bases AppSec (OWASP Top 10, SAST/SCA/secrets). Sans cela, l'examen est tres difficile car il porte sur des scenarios concrets de configuration.

GH-500 ou cert concurrente : laquelle choisir ?

Si votre stack est GitHub/Microsoft, GH-500 est imbattable. Pour un environnement GitLab, prenez GitLab Security Specialist. Pour une approche editeur-agnostique, Snyk Certified Developer ou CSSLP (ISC2) sont alternatives mais moins valorisees sur les offres GHAS specifiques.

Combien coute l'examen GH-500 ?

165 USD soit environ 155 EUR via Pearson VUE en 2026, en ligne avec proctoring ou en centre d'examen. Microsoft propose parfois des codes -50% lors d'evenements GitHub Universe ou Microsoft Ignite.

Combien de fois peut-on repasser GH-500 ?

En cas d'echec, attente de 24 heures pour la 2e tentative, 14 jours pour la 3e, 14 jours pour la 4e, puis 1 an entre la 4e et 5e. Maximum 5 tentatives par an. Chaque tentative est payante au tarif plein.

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc GH-500 → Test d'orientation