À propos des règles de triage automatique de Dependabot

Contrôlez comment Dependabot gère les alertes de sécurité, notamment le fait de filtrer, d’ignorer, de répéter ou de déclencher des mises à jour de sécurité.

Qui peut utiliser cette fonctionnalité ?

Présélections GitHub sont disponibles pour tous les types de référentiels.

Règles de triage automatique personnalisées sont disponibles pour les types de référentiels suivants :

  • Des référentiels publics sur GitHub.com
  • Référentiels appartenant à l’organisation sur GitHub Team avec GitHub Code Security activé

Dans cet article

À propos des Règles de triage automatique de Dependabot

Les Règles de triage automatique de Dependabot vous permettent de demander à Dependabot de trier automatiquement les Dependabot alerts. Vous pouvez utiliser les Règles de triage automatique pour ignorer ou suspendre automatiquement certaines alertes, ou pour spécifier les alertes pour lesquelles vous souhaitez que Dependabot ouvre des demandes de tirage. Les règles sont appliquées avant l’envoi des notifications d’alerte. Par conséquent, l’activation des règles qui rejettent automatiquement les alertes à faible risque permettra d’éviter le bruit des notifications pour les futures alertes correspondantes.

Il existe deux types de Règles de triage automatique de Dependabot :

  • Présélections GitHub
  • Règles de triage automatique personnalisées

À propos des Présélections GitHub

Remarque

Les Présélections GitHub pour Dependabot alerts sont des règles disponibles pour tous les dépôts.

Les Présélections GitHub sont des règles organisées par GitHub.

La règle Dismiss low impact issues for development-scoped dependencies est une règle prédéfinie de GitHub qui rejette automatiquement certains types de vulnérabilités détectées dans des dépendances npm utilisées en phase de développement. Ces alertes couvrent les cas qui ressemblent à de fausses alarmes pour la plupart des développeurs en raison des vulnérabilités associées :

  • Sont peu susceptibles d’être exploitables dans un environnement de développement (hors production ou de runtime).
  • Peuvent être liées à des problèmes de gestion des ressources, de programmation et de logique, et de divulgation d’informations.
  • Au pire, ont des effets limités comme des builds lentes ou des tests longs.
  • Ne sont pas révélatrices de problèmes en production.

La règle est activée par défaut pour les dépôts publics et peut être activée manuellement pour les dépôts privés. Pour obtenir des instructions, consultez Activation de la Dismiss low impact issues for development-scoped dependencies règle pour votre dépôt privé.

Pour plus d’informations sur les critères utilisés par la règle, consultez Énumérateurs de failles courantes utilisés par les règles Dependabot prédéfinies de GitHub.

À propos des Règles de triage automatique personnalisées

Remarque

Règles de triage automatique personnalisées pour Dependabot alerts sont disponibles sur les référentiels publics et sur tous les référentiels appartenant à l’organisation dans GitHub Team avec GitHub Code Security activé.

Grâce aux Règles de triage automatique personnalisées, vous pouvez créer vos propres règles pour ignorer ou rouvrir automatiquement des alertes en fonction de métadonnées ciblées, telles que la gravité, le nom du package, la CWE, et bien plus encore. Vous pouvez également spécifier les alertes pour lesquelles vous souhaitez que Dependabot ouvre des demandes de tirage. Pour plus d’informations, consultez « Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité ».

Vous pouvez créer des règles personnalisées depuis l’onglet Paramètres du dépôt, à condition que celui-ci appartienne à une organisation disposant d’une licence pour GitHub Code Security or GitHub Advanced Security. Pour plus d’informations, consultez Ajouter des règles de triage automatique personnalisées à votre dépôt.

À propos du rejet automatique des alertes

Bien qu’il puisse être utile d’utiliser des règles de triage automatique pour rejeter automatiquement les alertes, vous pouvez toujours rouvrir les alertes rejetées automatiquement et filtrer afin d’afficher les alertes qui ont été rejetées automatiquement. Pour plus d’informations, consultez « Gestion des alertes qui ont été ignorées automatiquement par une alerte de triage automatique Dependabot ».

Par ailleurs, les alertes rejetées automatiquement restent disponibles pour la création de rapports et la révision, et peuvent être rouvertes automatiquement en cas de modification des métadonnées de l’alerte, par exemple :

  • Si vous modifiez l’étendue d’une dépendance de développement à production.
  • Si GitHub modifie certaines métadonnées pour l’avis associé.

Les alertes masquées automatiquement sont définies par le motif de fermeture resolution:auto-dismiss. L’activité de masquage automatique est incluse dans les webhooks d’alerte, dans les API REST et GraphQL, ainsi que dans le journal d’audit. Pour plus d’informations, consultez Points de terminaison d’API REST pour Dependabot alerts, ainsi que la section « repository_vulnerability_alert » dans Examen du journal d’audit de votre organisation.

Lectures complémentaires

  •         [AUTOTITLE](/code-security/dependabot/dependabot-auto-triage-rules/using-github-preset-rules-to-prioritize-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-auto-triage-rules/customizing-auto-triage-rules-to-prioritize-dependabot-alerts)