Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité

Vous pouvez créer vos propres Règles de triage automatique pour contrôler quelles alertes sont ignorées ou reportées, et pour lesquelles vous souhaitez que Dependabot ouvre des requêtes de tirage.

Qui peut utiliser cette fonctionnalité ?

  • Propriétaires de l’organisation
  • Gestionnaires de sécurité
  • Les utilisateurs disposant d’un accès administrateur (peuvent activer, désactiver et afficher Règles de triage automatique pour le référentiel, ainsi que créer des données Règles de triage automatique personnalisées)

Présélections GitHub sont disponibles pour tous les types de référentiels.

Règles de triage automatique personnalisées sont disponibles pour les types de référentiels suivants :

  • Des référentiels publics sur GitHub.com
  • Référentiels appartenant à l’organisation sur GitHub Team ou GitHub Enterprise Cloud avec GitHub Code Security activé

Dans cet article

À propos de Règles de triage automatique personnalisées

Vous pouvez créer vos propres Règles de triage automatique de Dependabot en fonction des métadonnées d’alerte. Vous pouvez choisir d’ignorer automatiquement les alertes indéfiniment ou de répéter les alertes jusqu’à ce qu’un correctif soit disponible, et vous pouvez spécifier les requêtes de tirage pour lesquelles Dependabot alerts vous souhaitez Dependabot ouvrir des requêtes de tirage. Les règles sont appliquées avant l’envoi des notifications d’alerte, de sorte que la création de règles personnalisées qui ignorent automatiquement les alertes à faible risque réduit le bruit des notifications ultérieures.

Étant donné que toutes les règles que vous créez s’appliquent aux alertes futures et actuelles, vous pouvez également utiliser Règles de triage automatique pour gérer vos alertes en bloc.

Les administrateurs de référentiels peuvent créer Règles de triage automatique personnalisées pour leurs dépôts. Pour les référentiels privés ou internes, cela nécessite GitHub Code Security.

Les propriétaires de l’organisation et les gestionnaires de sécurité peuvent définir Règles de triage automatique personnalisées au niveau de l’organisation, puis choisir si une règle est appliquée ou activée sur tous les référentiels publics et privés de l’organisation.

  • Appliqué : si une règle au niveau de l’organisation est « appliquée », les administrateurs de dépôt ne peuvent pas modifier, désactiver ou supprimer la règle.
  • Activé : si une règle au niveau de l’organisation est « activée », les administrateurs de dépôt peuvent toujours désactiver la règle pour leur dépôt.

Remarque

Si une règle au niveau de l'organisation et une règle au niveau du référentiel spécifient des comportements contradictoires, l'action définie par la règle au niveau de l'organisation est prioritaire. Les règles de licenciement agissent toujours avant les règles qui déclenchent Dependabot des requêtes de tirage.

Vous pouvez créer des règles pour cibler des alertes à l’aide des métadonnées suivantes :

  • Identifiant CVE
  • CWE
  • Etendue de la dépendance (devDependency ou runtime)
  • Écosystème
  • ID GHSA
  • Chemin d’accès au manifeste (pour les règles au niveau du repository uniquement)
  • Nom du package
  • Disponibilité des correctifs
  • Niveau de gravité
  • Score EPSS

Comprendre comment Règles de triage automatique personnalisées et Dependabot security updates interagissent

Remarque

Dependabot n’ouvrira des pull requests que pour résoudre Dependabot alerts, et non Dependabot malware alerts.

Vous pouvez utiliser Règles de triage automatique personnalisées pour personnaliser les Dependabot alerts requêtes de tirage pour lesquelles vous souhaitez que Dependabot ouvre des requêtes de tirage. Toutefois, pour qu'une règle "ouvrir une pull request" prenne effet, vous devez vous assurer que Dependabot security updates sont désactivés pour le référentiel (ou les référentiels) auquel la règle doit s'appliquer.

Lorsqu’elles Dependabot security updates sont activées pour un référentiel, Dependabot tenteront automatiquement d’ouvrir des pull requests pour résoudre chaque alerte ouverte Dependabot pour lesquelles un correctif est disponible. Si vous préférez personnaliser ce comportement à l’aide d’une règle, vous devez laisser Dependabot security updates désactivé.

Pour plus d’informations sur l’activation ou la Dependabot security updates désactivation d’un référentiel, consultez Configuration des mises à jour de sécurité Dependabot.

Ajout Règles de triage automatique personnalisées à votre référentiel

Remarque

Pendant l’opération préversion publique, vous pouvez créer jusqu’à 10 Règles de triage automatique personnalisées pour un référentiel.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre référentiel, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.

  4. Dans la section « Dependabot », à droite de « Règles Dependabot », cliquez sur .

  5. Cliquez sur Nouvelle règle.

  6. Sous « Nom e la règle », décrivez l’effet de cette règle.

  7. Sous « État », utilisez le menu déroulant pour déterminer si la règle doit être activée ou désactivée pour le référentiel.

  8. Sous « Alertes cibles », sélectionnez les métadonnées que vous souhaitez utiliser pour filtrer les alertes.

  9. Sous « Règles », sélectionnez l’action que vous souhaitez effectuer sur les alertes qui correspondent aux métadonnées :

    • Sélectionnez Ignorer les alertes pour ignorer automatiquement les alertes qui correspondent aux métadonnées. Vous pouvez choisir d’ignorer les alertes indéfiniment ou jusqu’à ce qu’une mise à jour corrective soit disponible.

    • Sélectionnez Ouvrir une demande de tirage pour résoudre cette alerte si vous souhaitez Dependabot suggérer des modifications pour résoudre les alertes qui correspondent aux métadonnées ciblées. Notez que cette option n’est pas disponible si vous avez déjà sélectionné l’option pour ignorer les alertes indéfiniment, ou si Dependabot security updates elles sont activées dans les paramètres de votre référentiel.

      Remarque

      Dependabot n’ouvrira des pull requests que pour résoudre Dependabot alerts, et non Dependabot malware alerts.

  10. Cliquez sur Créer une règle.

L'ajout de Règles de triage automatique personnalisées à votre organisation

Vous pouvez ajouter Règles de triage automatique personnalisées pour tous les dépôts éligibles dans votre organisation. Pour plus d’informations, consultez « Configuration des paramètres de sécurité globaux pour votre organisation ».

Modification ou suppression Règles de triage automatique personnalisées de votre référentiel

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre référentiel, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.

  4. Dans la section « Dependabot », à droite de « Règles Dependabot », cliquez sur .

  5. Sous « Règles de référentiel », à droite de la règle que vous souhaitez modifier ou supprimer, cliquez sur .

  6. Pour modifier la règle, apportez des modifications aux champs applicables, puis cliquez sur Enregistrer la règle.

  7. Pour supprimer la règle, sous « Zone de danger », cliquez sur Supprimer la règle.

  8. Dans la boîte de dialogue « Voulez-vous vraiment supprimer cette règle ? », passez en revue les informations, puis cliquez sur Supprimer une règle.

Édition ou suppression Règles de triage automatique personnalisées pour votre organisation

Vous pouvez modifier ou supprimer Règles de triage automatique personnalisées pour tous les dépôts éligibles de votre organisation. Pour plus d’informations, consultez « Configuration des paramètres de sécurité globaux pour votre organisation ».