À propos des Dependabot alerts pour les dépendances vulnérables
Une vulnérabilité est un problème dans le code d’un projet qui pourrait être exploité pour altérer la confidentialité, l’intégrité ou la disponibilité du projet ou d’autres projets qui utilisent son code. Les vulnérabilités varient en fonction du type, de la gravité et de la méthode d’attaque.
Dependabot analyse le code lorsqu’un nouvel avis est ajouté à la GitHub Advisory Database ou que le graphique de dépendance d’un dépôt change. Lorsque des dépendances vulnérables sont détectés, des Dependabot alerts sont générées. Pour plus d’informations, consultez « À propos des alertes Dependabot ».
Si vous avez activé Dependabot security updates pour votrer référentiel, l’alerte peut également contenir un lien vers une demande de tirage (pull request) pour mettre à jour le fichier manifeste ou de verrouillage vers la version minimale qui résout la vulnérabilité. Pour plus d’informations, consultez « À propos des mises à jour de sécurité Dependabot ».
Note
Le propriétaire d'une entreprise doit d’abord configurer Dependabot pour son entreprise avant de pouvoir configurer Dependabot alerts. Pour plus d’informations, consultez Activation de Dependabot pour votre entreprise.
Avant de pouvoir activer ou désactiver les Dependabot alerts pour :
- Votre compte personnel
- Votre dépôt
- Votre organisation
- Votre entreprise
En outre, vous pouvez utiliser Règles de triage automatique de Dependabot pour gérer vos alertes à l’échelle, pour pouvoir ignorer automatiquement ou désactiver temporairement les alertes, et spécifier les alertes pour lesquelles vous souhaitez que Dependabot ouvre les demandes de tirage. Pour plus d’informations sur les différents types de règles de triage automatique et pour savoir si vos référentiels sont éligibles, consultez À propos des règles de triage automatique de Dependabot.
Gestion des Dependabot alerts pour votre compte personnel
Les Dependabot alerts pour vos dépôts peuvent être activées ou désactivées par le propriétaire de votre entreprise. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».
Gestion des Dependabot alerts pour votre dépôt
Vous pouvez gérer les Dependabot alerts pour votre référentiel public, privé ou interne.
Par défaut, nous informons les personnes disposant d’autorisations d’écritures, de maintenance et d’administrateur dans les référentiels affectés sur les nouvelles Dependabot alerts. GitHub ne révèle jamais publiquement les dépendances non sécurisées pour un référentiel. Vous pouvez également rendre les Dependabot alerts visibles pour d’autres personnes ou équipes travaillant sur des référentiels dont vous êtes propriétaire ou sur lesquels vous disposez d’autorisations d’administrateur.
Un propriétaire d’entreprise doit d’abord configurer Dependabot pour votre entreprise avant de pouvoir gérer Dependabot alerts pour votre référentiel. Pour plus d’informations, consultez Activation de Dependabot pour votre entreprise.
Activation ou désactivation des Dependabot alerts pour un dépôt
-
Sur GitHub, accédez à la page principale du référentiel.
-
Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.
-
Dans la section « Sécurité » de la barre latérale, cliquez sur Code security and analysis.
-
Sous « Code security and analysis », à droite de Dependabot alerts, cliquez sur Activer pour activer les alertes ou Désactiver pour les désactiver.
Gestion des Dependabot alerts pour votre organisation
Vous pouvez activer Dependabot alerts pour tous les dépôts éligibles de votre organisation. Pour plus d’informations, consultez « À propos de l'activation des fonctionnalités de sécurité à grande échelle ».
Gérer les Dependabot alerts pour votre entreprise
Security configurations, qui sont des collections de paramètres de sécurité, vous permettent de gérer Dependabot alerts pour votre entreprise. Consultez Créer une configuration de sécurité personnalisée pour votre entreprise.