Cette version de GitHub Enterprise Server ne sera plus disponible le 2026-03-17. Aucune publication de correctifs n’est effectuée, même pour les problèmes de sécurité critiques. Pour de meilleures performances, une sécurité améliorée et de nouvelles fonctionnalités, effectuez une mise à niveau vers la dernière version de GitHub Enterprise. Pour obtenir de l’aide sur la mise à niveau, contactez le support GitHub Enterprise.

À propos des alertes Dependabot

Dependabot alerts vous aident à trouver et à corriger les dépendances vulnérables avant qu’elles ne deviennent des risques de sécurité.

Qui peut utiliser cette fonctionnalité ?

Dependabot alerts sont disponibles pour les dépôts appartenant à l'organisation ou à l’utilisateur.

Dans cet article

Le logiciel s’appuie souvent sur des packages provenant de différentes sources, créant des relations de dépendances qui peuvent inconsciemment introduire des vulnérabilités de sécurité. Lorsque votre code dépend de packages avec des vulnérabilités de sécurité connues, vous devenez une cible pour les attaquants qui cherchent à exploiter votre système, ce qui peut obtenir l’accès à votre code, vos données, vos clients ou vos contributeurs. Dependabot alerts vous avertit des dépendances vulnérables afin de pouvoir effectuer une mise à niveau vers des versions sécurisées et protéger votre projet.

Quand Dependabot envoie des alertes

Dependabot analyse la branche par défaut de votre référentiel et envoie des alertes quand :

Pour les écosystèmes pris en charge, consultez Écosystèmes de packages pris en charge pour le graphe des dépendances.

Comprendre les alertes

Lorsque GitHub détecte une dépendance vulnérable, une alerte Dependabot s’affiche dans l’onglet Sécurité et le graphe de dépendance du référentiel. Chaque alerte inclut :

  • Lien vers le fichier concerné
  • Détails sur la vulnérabilité et sa gravité
  • Informations sur une version fixe (le cas échéant)

Pour plus d’informations sur l’affichage et la gestion des alertes, consultez Affichage et mise à jour des alertes Dependabot.

Activation des alertes

Les administrateurs de dépôts et les propriétaires d’organisations peuvent activer les Dependabot alerts pour leurs dépôts. Lorsque cette option est activée, GitHub génère immédiatement le graphique de dépendances et crée des alertes pour toutes les dépendances vulnérables qu’il identifie.

Les propriétaires d’entreprise doivent activer les Dependabot alerts pour votre instance GitHub Enterprise Server pour que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».

Consultez Configuration d’alertes Dependabot.

Notifications pour les alertes

Par défaut, GitHub envoie des notifications par e-mail concernant de nouvelles alertes aux personnes qui remplissent les deux conditions suivantes :

  • Disposer d’autorisations d’écriture, de maintenance ou d’administrateur dans un référentiel
  • Surveillez le référentiel et avez activé les notifications pour les alertes de sécurité ou pour toutes les activités sur le référentiel

Quelles que soient vos préférences de notification, lorsque Dependabot est activé pour la première fois, GitHub n’envoie pas de notifications pour toutes les dépendances vulnérables trouvées dans votre référentiel. Au lieu de cela, vous recevrez des notifications pour les nouvelles dépendances vulnérables identifiées après l’activation de Dependabot, si vos préférences de notification l’autorisent.

Si vous vous inquiétez de recevoir trop de notifications, nous vous recommandons d’utiliser Règles de triage automatique de Dependabot pour ignorer automatiquement les alertes à faible risque. Les règles sont appliquées avant l’envoi des notifications d’alerte. Par conséquent, les alertes qui sont automatiquement ignorées lors de leur création n’envoient pas de notifications. Consultez À propos des règles de triage automatique de Dependabot.

Vous pouvez également opter pour le résumé hebdomadaire par e-mail, ou même désactiver complètement les notifications tout en conservant Dependabot alerts activé.

Limites

Dependabot alerts présentent certaines limitations :

  • Les alertes ne peuvent pas intercepter chaque problème de sécurité. Passez toujours en revue vos dépendances et conservez le manifeste et les fichiers de verrouillage à jour pour une détection précise.
  • De nouvelles vulnérabilités peuvent prendre du temps à apparaître dans les GitHub Advisory Database et déclencher des alertes.
  • Seuls les avis examinés par GitHub déclenchent des alertes.
  • Dependabot n’analyse pas les dépôts archivés.
  • Dependabot ne génère pas d’alertes pour les programmes malveillants.
  • Pour GitHub Actions, Dependabot alerts ne sont générés que pour les actions utilisant le versionnage sémantique, pas le versionnage SHA.

Lectures complémentaires

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates)

  •         [AUTOTITLE](/code-security/getting-started/auditing-security-alerts)