Cette version de GitHub Enterprise Server ne sera plus disponible le 2026-03-17. Aucune publication de correctifs n’est effectuée, même pour les problèmes de sécurité critiques. Pour de meilleures performances, une sécurité améliorée et de nouvelles fonctionnalités, effectuez une mise à niveau vers la dernière version de GitHub Enterprise. Pour obtenir de l’aide sur la mise à niveau, contactez le support GitHub Enterprise.

Affichage et mise à jour des alertes Dependabot

Si GitHub découvre des dépendances non sécurisées dans votre projet, vous pouvez afficher des détails sur l’onglet Alertes Dependabot de votre référentiel. Ensuite, vous pouvez mettre à jour votre projet pour résoudre ou ignorer l’alerte.

Qui peut utiliser cette fonctionnalité ?

  • Administrateurs du référentiel, propriétaires de l'organisation et personnes ayant un accès en écriture ou en maintenance
  • Utilisateurs et équipes disposant d’un accès explicite. Consultez Autoriser l'accès à l'alerte de sécurité.

Dans cet article

Remarque

Votre administrateur de site doit configurer les Dependabot updates pour votre instance GitHub Enterprise Server afin que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez Activation de Dependabot pour votre entreprise.

Il se peut que vous ne puissiez pas activer ou désactiver Dependabot updates si le propriétaire de l'entreprise a défini une politique au niveau de l'entreprise. Pour plus d’informations, consultez « Application de stratégies de sécurité et d’analyse du code pour votre entreprise ».

L’onglet Dependabot alerts de votre référentiel liste toutes les Dependabot alerts ouvertes et fermées Dependabot security updates. Vous pouvez filtrer les alertes par package, écosystème ou manifeste. Vous pouvez trier la liste des alertes. Cliquez dans des alertes spécifiques pour obtenir plus de détails. Vous pouvez également rejeter ou rouvrir des alertes, soit individuellement, soit en en sélectionnant plusieurs à la fois. Pour plus d’informations, consultez « À propos des alertes Dependabot ».

À propos des mises à jour des dépendances vulnérables dans votre dépôt

Chaque alerte Dependabot a un identificateur numérique unique et l’onglet the Dependabot alerts liste une alerte pour chaque vulnérabilité détectée. Les Dependabot alerts héritées ont regroupé les vulnérabilités par dépendance et ont généré une alerte unique par dépendance. Si vous accédez à une alerte Dependabot, vous êtes redirigé vers un onglet Dependabot alerts filtré pour ce package.

Vous pouvez filtrer et trier des Dependabot alerts en utilisant divers filtres et options de tri disponibles dans l’interface utilisateur. Pour en savoir plus, consultez Affichage et hiérarchisation des Dependabot alerts ci-dessous.

Vous pouvez également auditer les actions effectuées en réponse aux alertes Dependabot. Pour plus d’informations, consultez « Audit des alertes de sécurité ».

Affichage et priorisation des alertes Dependabot alerts

Vous pouvez afficher, trier et filtrer Dependabot alerts pour vous concentrer sur les alertes qui importent le plus.

Par défaut, les alertes sont triées par plus importante, ce qui vous permet de hiérarchiser les correctifs en fonction de facteurs tels que l’impact potentiel, l’actionnabilité et la pertinence. Cette hiérarchisation est continuellement améliorée et prend en compte les signaux tels que le score CVSS, l’étendue des dépendances et la détection des appels de fonction vulnérables.

Vous pouvez consulter toutes les Dependabot alerts ouvertes et fermées et les Dependabot security updates correspondantes dans l’onglet Dependabot alerts de votre référentiel.

  1. Si vous le souhaitez, affinez la liste des alertes :

    • Utilisez les menus déroulants en haut de la liste pour trier ou filtrer les alertes.

      Capture d’écran des menus de filtrage et de tri sous l’onglet Dependabot alerts.

    • Tapez directement dans la barre de recherche pour filtrer les alertes, y compris la recherche en texte intégral entre les détails de l’alerte et les avis de sécurité associés.

    • Cliquez sur une étiquette sur une alerte pour filtrer automatiquement la liste par cette étiquette.

    • Pour identifier les alertes qui affectent les dépendances de développement, filtrez par le scope:development filtre ou recherchez des alertes étiquetées « Développement ». Cela peut vous aider à hiérarchiser les alertes qui affectent d’abord les dépendances de production.

      Capture d’écran montrant l’intitulé « Development » affecté à une alerte dans la liste des alertes.

  2. Cliquez sur une alerte pour afficher ses détails. Les alertes pour les dépendances à portée de développement incluent une étiquette « Développement » dans la section « Balises » de la page des détails de l'alerte.

    Capture d’écran montrant la section « Étiquettes » dans la page des détails de l’alerte.

  3. Si vous le souhaitez, pour suggérer une amélioration de l’avis de sécurité associé, sur le côté droit de la page des détails de l’alerte, cliquez sur Suggérer des améliorations pour cet avis sur la GitHub Advisory Database . Consultez Modification des avis de sécurité dans la base de données d’avis de GitHub.

Conseils pour hiérarchiser les alertes

  • Utilisez l’ordre de tri le plus important pour vous concentrer sur les alertes avec l’impact potentiel le plus élevé.
  • Hiérarchiser les alertes qui affectent les dépendances de production par rapport aux dépendances de développement.
  • Utilisez Règles de triage automatique de Dependabot pour hiérarchiser ou gérer automatiquement les alertes. Consultez À propos des règles de triage automatique de Dependabot.

Pour plus d’informations sur les écosystèmes pris en charge et les fichiers manifestes pour l’étendue de dépendance, consultez Écosystèmes et manifestes pris en charge pour l’étendue des dépendances.

Pour obtenir la liste complète des filtres disponibles, consultez Filtres d’alerte Dependabot.

Pour récupérer des alertes par programmation, consultez autoTITLE.

Examen et résolution des alertes

Vous pouvez consulter les détails d’une alerte Dependabot pour comprendre la vulnérabilité et comment la corriger.

Correction des dépendances vulnérables

  1. Affichez les détails d’une alerte. Pour plus d’informations, consultez Affichage et hiérarchisation Dependabot alerts (ci-dessus).

  2. Si les Dependabot security updates sont activées, il peut y avoir un lien vers une demande de tirage qui corrigera la dépendance. Vous pouvez également cliquer sur Créer la mise à jour de sécurité Dependabot en haut de la page des détails de l’alerte pour créer une demande de tirage.

    Capture d’écran d’une alerte Dependabot avec le bouton « Créer une mise à jour de sécurité Dependabot » mis en évidence avec un encadré orange foncé.

  3. Éventuellement, si vous n’utilisez pas les Dependabot security updates, vous pouvez utiliser les informations de la page pour décider vers quelle version de la dépendance mettre à niveau et créer une demande de tirage pour mettre à jour la dépendance vers une version sécurisée.

  4. Quand vous êtes prêt à mettre à jour votre dépendance et à résoudre la vulnérabilité, fusionnez la demande de tirage.

    Chaque demande de tirage déclenchée par Dependabot inclut des informations sur les commandes que vous pouvez utiliser pour contrôler Dependabot. Pour plus d’informations, consultez « Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances ».

Ignorer les Dependabot alerts

Remarque

Vous ne pouvez ignorer que les alertes ouvertes.

Si vous planifiez un travail de grande ampleur pour mettre à niveau une dépendance ou si vous décidez qu’une alerte n’a pas besoin d’être corrigée, vous pouvez ignorer l’alerte. Ignorer les alertes que vous avez déjà évaluées facilite le tri des nouvelles alertes à mesure qu’elles apparaissent.

  1.        [Affichage et priorisation Dependabot alerts](#viewing-and-prioritizing-dependabot-alerts) (ci-dessus).

  2. Sélectionnez la liste déroulante « Ignorer », puis cliquez sur une raison pour ignorer l’alerte. Les alertes rejetées mais non corrigées peuvent être rouvertes ultérieurement.

  3. Si vous le souhaitez, ajoutez un commentaire de l’action Ignorer. Le commentaire de l’action Ignorer est ajouté à la chronologie des alertes et peut être utilisé comme justification lors de l’audit et de la création de rapports. Vous pouvez récupérer ou définir un commentaire à l’aide de l’API GraphQL. Le commentaire est contenu dans le champ dismissComment. Pour en savoir plus, consultez Objets dans la documentation de l’API GraphQL.

    Capture d’écran d’une page d’alerte Dependabot, avec le menu déroulant « Rejeter » et l’option permettant d’ajouter un commentaire de rejet mis en évidence en orange.

  4. Cliquez sur Ignorer l’alerte.

Ignorer plusieurs alertes à la fois

  1. Afficher le Dependabot alerts ouvert.
  2. Si vous le souhaitez, filtrez la liste des alertes en sélectionnant un menu déroulant, puis cliquez sur le filtre que vous souhaitez appliquer. Vous pouvez également taper des filtres dans la barre de recherche.
  3. À gauche de chaque titre d’alerte, sélectionnez les alertes que vous souhaitez ignorer.
    Capture d’écran de la vue Dependabot alerts. Deux alertes sont sélectionnées et ces cases à cocher sont mises en évidence avec un encadré orange.
  4. Si vous le souhaitez, en haut de la liste des alertes, sélectionnez toutes les alertes de la page.
    Capture d’écran de la section d’en-tête de la vue Dependabot alerts. La case à cocher « Tout sélectionner » est mise en évidence avec un encadré orange foncé.
  5. Sélectionnez la liste déroulante « Ignorer les alertes », puis cliquez sur une raison pour ignorer les alertes.
    Capture d’écran d’une liste d’alertes. Sous le bouton « Ignorer les alertes », une liste déroulante intitulée « Sélectionner une raison d’ignorer » est développée.

Affichage et mise à jour des alertes fermées

Vous pouvez afficher toutes les alertes ouvertes et rouvrir les alertes qui ont été précédemment ignorées. Les alertes fermées qui ont déjà été corrigées ne peuvent pas être rouvertes.

  1. Pour afficher simplement les alertes fermées, cliquez sur Fermé.

    Capture d’écran montrant la liste des Dependabot alerts avec l’onglet « Fermé » mis en évidence avec un encadré orange foncé.

  2. Cliquez sur l’alerte que vous voulez visualiser ou mettre à jour.

  3. Éventuellement, si l’alerte a été ignorée et que vous souhaitez la rouvrir, cliquez sur Rouvrir. Les alertes qui ont déjà été corrigées ne peuvent pas être rouvertes.

    Capture d’écran montrant une alerte Dependabot fermée. Un bouton intitulé « Rouvrir » est mis en évidence avec un contour orange foncé.

Rouvrir plusieurs alertes à la fois

  1. Afficher le Dependabot alerts fermé.
  2. À gauche de chaque titre d’alerte, sélectionnez les alertes que vous souhaitez rouvrir en cliquant sur la case à cocher adjacente à chaque alerte.
  3. Si vous le souhaitez, en haut de la liste des alertes, sélectionnez toutes les alertes fermées de la page.
    Capture d’écran des alertes sous l’onglet « Fermé ». La case à cocher « Tout sélectionner » est mise en évidence avec un encadré orange foncé.
  4. Cliquez sur Rouvrir pour rouvrir les alertes. Les alertes qui ont déjà été corrigées ne peuvent pas être rouvertes.

Examen des journaux d’audit pour Dependabot alerts

Lorsqu’un membre de votre organisation ou d’entreprise effectue une action liée à Dependabot alerts, vous pouvez examiner les actions dans le journal d’audit. Pour en savoir plus sur l’accès au journal, consultez Examen du journal d’audit de votre organisation et Accès au journal d’audit de votre entreprise.

Capture d’écran du journal d’audit montrant les alertes Dependabot.

Les événements de votre journal d’audit pour Dependabot alerts incluent des détails tels que qui a effectué l’action, ce qu’était l’action et quand l’action a été effectuée. L’événement inclut également un lien vers l’alerte elle-même. Lorsqu’un membre de votre organisation rejette une alerte, l’événement affiche le motif de rejet ainsi que le commentaire associé. Pour en savoir plus sur les actions Dependabot alerts, consultez la catégorie repository_vulnerability_alert dans Événements du journal d’audit pour votre organisation et Événements du journal d’audit pour votre entreprise.