Enabling delegated alert dismissal for Dependabot

Increase your governance over your Dependabot alerts with delegated alert dismissal.

Qui peut utiliser cette fonctionnalité ?

Les propriétaires d’organisation, les gestionnaires de sécurité et les administrateurs de référentiel peuvent activer les rejets d’alertes délégués. Une fois activés, les propriétaires d’organisation et les gestionnaires de sécurité peuvent rejeter les alertes.

Dans cet article

About enabling delegated alert dismissal

Le rejet d’alerte délégué vous permet de restreindre les utilisateurs qui peuvent rejeter directement une alerte. Lorsque la fonctionnalité est activée, les utilisateurs qui tentent d’ignorer une alerte créent à la place une demande de rejet.

L’activation de cette fonctionnalité attribue automatiquement aux propriétaires d’organisation et aux gestionnaires de la sécurité l’autorisation d’approuver ou de refuser les demandes de rejet d’alertes. Cette autorisation est la suivante :

  • L’autorisation « Passer en revue et gérer les demandes de rejet d’alerte code scanning » pour code scanning.

  • L’autorisation « Passer en revue et gérer les demandes de rejet d’alerte de secret scanning » pour secret scanning. Cette autorisation peut également être appliquée aux rôles personnalisés.

Pour plus d’informations sur ces autorisations, consultez Rôles dans une organisation.

Pour en savoir plus sur le rôle gestionnaire de sécurité, consultez «Gestion des gestionnaires de sécurité dans votre organisation ».

Remarque

La mise en œuvre de ce processus d’approbation peut potentiellement entraîner des frictions, il est donc important de s’assurer que l’équipe de gestionnaires de la sécurité dispose d’une couverture adéquate avant de poursuivre.

Réviseurs (gestionnaires de la sécurité et propriétaires d’organisation) :

  • Recevez une notification par e-mail pour les demandes. Ces utilisateurs doivent s’assurer qu’ils peuvent examiner ces listes périodiquement, afin qu’il n’y ait pas de backlog et que le processus se déroule sans heurts.
  • Peut traiter les demandes dans une vue dédiée dans l’onglet « Sécurité » de l’organisation. Une alerte sera uniquement rejetée si la demande de rejet est approuvée ; à défaut, l’alerte restera ouverte.

Les demandeurs recevront une notification par e-mail indiquant si l’alerte peut être rejetée ou non.

Configuring delegated dismissal for a repository

Remarque

If an organization owner configures delegated alert dismissal via an enforced security configuration, the settings can't be changed at the repository level.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre référentiel, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.

  4. In the "Dependabot" section, next to "Prevent direct alert dismissals", click Enable.

Configuring delegated dismissal for an organization

You must configure delegated dismissal for your organization using a custom security configuration. You can then apply the security configuration to all (or selected) repositories in your organization.

  1. Start creating or editing a custom security configuration. See Création d’une configuration de sécurité personnalisée.
  2. In the "Dependency scanning" section of your security configuration, set "Prevent direct alert dismissals" to Enabled.
  3. Click Save configuration.
  4. Apply the security configuration to repositories in your organization. See Application d’une configuration de sécurité personnalisée.

Configuring delegated dismissal for an enterprise

You must configure delegated dismissal for your enterprise using a custom security configuration. You can then apply the security configuration to all (or selected) repositories in your enterprise.

  1. Start creating or editing a custom security configuration. See Créer une configuration de sécurité personnalisée pour votre entreprise.
  2. In the "Dependency scanning" section of your security configuration, set "Prevent direct alert dismissals" to Enabled.
  3. Click Save configuration.
  4. Apply the security configuration to repositories in your enterprise. See Appliquer une configuration de sécurité personnalisée à votre entreprise.

Next steps

Now that you have enabled delegated alert dismissal for Dependabot, you should regularly review alert dismissal requests to maintain an accurate alert count and unblock your developers. See Reviewing alert dismissal requests.