À propos des mises à jour de sécurité Dependabot

Dependabot peut corriger automatiquement les dépendances vulnérables en formulant des demandes de tirage avec des mises à jour de sécurité.

Qui peut utiliser cette fonctionnalité ?

Dependabot security updates est disponible pour les dépôts suivants :

  • Tous les dépôts sur GitHub Enterprise Server

Dans cet article

Remarque

Votre administrateur de site doit configurer les Dependabot updates pour votre instance GitHub Enterprise Server afin que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez Activation de Dependabot pour votre entreprise.

Il se peut que vous ne puissiez pas activer ou désactiver Dependabot updates si le propriétaire de l'entreprise a défini une politique au niveau de l'entreprise. Pour plus d’informations, consultez « Application de stratégies de sécurité et d’analyse du code pour votre entreprise ».

À propos des Dependabot security updates

Les Dependabot security updates facilitent la résolution des dépendances vulnérables dans votre dépôt.

Si vous activez Dependabot security updates, lorsqu’une alerte Dependabot est déclenchée pour une dépendance vulnérable dans le graphique des dépendances de votre référentiel, Dependabot tente automatiquement de la corriger. Pour plus d’informations, consultez « À propos des alertes Dependabot » et « Configuration des mises à jour de sécurité Dependabot ».

Vous pouvez ajouter un fichier de configuration dependabot.yml à votre référentiel pour personnaliser le comportement de Dependabot, y compris les plannings de mise à jour, les paramètres de pull request et les dépendances à surveiller. Pour plus d’informations, consultez « À propos du fichier dependabot.yml ». Vous configurez ensuite les options de ce fichier pour indiquer à Dependabot comment sécuriser les dépendances sur lesquelles repose votre référentiel.

Pour plus d’informations sur les écosystèmes et référentiels pris en charge, consultez Écosystèmes et référentiels pris en charge par Dependabot.

Remarque

Il n’y a aucune interaction entre les paramètres spécifiés dans le fichier dependabot.yml et les alertes de sécurité Dependabot, à l’exception du fait que les alertes seront fermées lorsque les demandes de tirage associées générées par Dependabot pour les mises à jour de sécurité seront fusionnées.

Dependabot signe ses propres commits par défaut, même si la signature des commits n'est pas une exigence pour le référentiel. Pour plus d’informations sur les commits vérifiés, consultez À propos de la vérification des signatures de commit.

Remarque

Lorsque les Dependabot security updates sont activées pour un référentiel, Dependabot tente automatiquement d’ouvrir des demandes de tirage pour résoudre chaque alerte Dependabot ouverte qui a une mise à jour corrective disponible. Si vous préférez personnaliser les alertes pour lesquelles Dependabot ouvre les demandes de tirage, vous devez laisser Dependabot security updates désactivées et créer une règle de triage automatique. Pour plus d’informations, consultez « Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité ».

GitHub peut envoyer des Dependabot alerts aux dépôts affectés par une vulnérabilité divulguée par un avis de sécurité GitHub publié récemment. Pour plus d’informations, consultez « Exploration des avis de sécurité dans la base de données GitHub Advisory ».

Dependabot vérifie s’il est possible de mettre à niveau la dépendance vulnérable vers une version corrigée sans interrompre le graphe de dépendances pour le dépôt. Ensuite, Dependabot déclenche une demande de tirage (pull request) pour mettre à jour la dépendance vers la version minimale qui inclut le correctif et lie la demande de tirage à l’alerte Dependabot ou signale une erreur sur l’alerte. Pour plus d’informations, consultez « Erreurs de Dependabot ».

La fonctionnalité des Dependabot security updates est disponible pour les dépôts où vous avez activé le graphe de dépendances et les Dependabot alerts. Vous voyez une alerte Dependabot pour chaque dépendance vulnérable identifiée dans votre graphe de dépendances complet. Toutefois, les mises à jour de sécurité sont déclenchées uniquement pour les dépendances spécifiées dans un manifeste ou un fichier de verrouillage. Pour plus d’informations, consultez « À propos du graphe de dépendances ».

Remarque

Pour npm, Dependabot déclenchera une demande d’extraction afin de mettre à jour une dépendance explicitement définie vers une version sécurisée, même si cela implique de mettre à jour la ou les dépendances parentes, ou même de supprimer une sous-dépendance qui n’est plus nécessaire pour la dépendance parente. Pour d’autres écosystèmes, Dependabot ne peut pas mettre à jour une dépendance indirecte ou transitive si cela nécessite également une mise à jour de la dépendance parente. Pour plus d’informations, consultez « Erreurs de Dependabot ».

Vous pouvez activer une fonctionnalité associée, les Dependabot version updates, afin que Dependabot déclenche des demandes de tirage pour mettre à jour le manifeste vers la dernière version de la dépendance, chaque fois qu’il détecte une dépendance obsolète. Pour plus d’informations, consultez « À propos des mises à jour de version Dependabot ».

Quand Dependabot déclenche des demandes de tirage, celles-ci peuvent concerner des mises à jour de sécurité ou de version :

  • Les Dependabot security updates sont des demandes de tirage automatisées qui vous aident à mettre à jour les dépendances qui ont des vulnérabilités connues.
  • Les Dependabot version updates sont des demandes de tirage automatisées qui tiennent à jour les dépendances, même si elles ne présentent aucune vulnérabilité. Pour vérifier l’état des mises à jour de version, accédez à l’onglet Insights de votre référentiel, puis sélectionnez Graphe des dépendances et Dependabot.

Si vous activez Dependabot security updates, certaines parties de la configuration peuvent également affecter les demandes de tirage créées pour Dependabot version updates. En effet, certains paramètres de configuration sont communs aux deux types de mises à jour. Pour plus d’informations, consultez « Personnalisation des demandes de tirage pour les mises à jour de sécurité de Dependabot ».

Avant d’activer les Dependabot updates, vous devez configurer votre instance GitHub Enterprise Server pour utiliser GitHub Actions avec des exécuteurs autohébergés. GitHub Actions est requis pour Dependabot version updates et Dependabot security updates pour exécuter sur GitHub. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».

Les Dependabot security updates peuvent corriger les dépendances vulnérables dans GitHub Actions. Lorsque les mises à jour de sécurité sont activées, Dependabot déclenche automatiquement une demande de tirage pour mettre à jour les GitHub Actions vulnérables utilisées dans vos workflows vers la version corrigée minimale.

À propos des demandes de tirage pour les mises à jour de sécurité

Chaque demande de tirage contient tout ce dont vous avez besoin pour examiner un correctif proposé et le fusionner dans votre projet rapidement et de manière sécurisée. Cela inclut des informations sur la vulnérabilité, telles que les notes de publication, les entrées du journal des modifications et les détails de commit. Les détails de la vulnérabilité qui est résolue par une demande de tirage sont masqués pour toute personne qui n’a pas accès aux Dependabot alerts pour le dépôt.

Quand vous fusionnez une demande de tirage contenant une mise à jour de sécurité, l’alerte Dependabot correspondante est marquée comme résolue pour votre dépôt. Pour plus d’informations sur les demandes de tirage Dependabot, consultez Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances.

Remarque

Une bonne pratique consiste à mettre en place des tests automatisés et des processus d’acceptation afin que les vérifications soient effectuées avant la fusion de la demande de tirage. Cette pratique est d’autant plus importante si la version suggérée vers laquelle effectuer la mise à niveau contient des fonctionnalités supplémentaires ou un changement qui casse le code de votre projet. Pour plus d’informations sur l’intégration continue, consultez « Intégration continue ».

À propos des correctifs de sécurité groupés

Afin de réduire davantage le nombre de demandes d’extraction que vous pourriez voir, vous pouvez activer les mises à jour de sécurité groupées pour regrouper des ensembles de dépendances (par écosystème de packages). Dependabot génère ensuite une seule demande de tirage afin de mettre à jour autant de dépendances vulnérables que possible dans le groupe et sécuriser ainsi toutes les versions simultanément.

Pour les mises à jour de sécurité, Dependabot ne regroupera les dépendances provenant de différents répertoires par écosystème que sous certaines conditions et configurations. Dependabot ne regroupera pas les dépendances provenant de différents écosystèmes de packages, et il ne regroupera pas les mises à jour de sécurité avec les mises à jour de version.

Vous pouvez activer les demandes de tirage (pull requests) groupées pour Dependabot security updates d’une ou des deux manières suivantes.

  • Pour regrouper autant de mises à jour de sécurité disponibles que possible, à travers les répertoires et par écosystème, activez le regroupement dans les paramètres « Code security » pour votre référentiel, ou dans les « Paramètres globaux » sous Code security pour votre organisation.
  • Pour un contrôle plus précis du regroupement, tel que le regroupement par nom de package, par dépendance de développement/production ou par niveau SemVer, ou à travers plusieurs répertoires par écosystème, ajoutez des options de configuration au fichier de configuration dependabot.yml dans votre référentiel.

Remarque

Si vous avez configuré des règles de groupe pour Dependabot security updates dans un fichier dependabot.yml, toutes les mises à jour disponibles sont regroupées en fonction des règles que vous avez spécifiées. Dependabot regroupe uniquement les annuaires non configurés dans votre dependabot.yml si le paramètre des correctifs de sécurité groupés au niveau de l’organisation ou du référentiel est également activé.

Pour plus d’informations, consultez « Configuration des mises à jour de sécurité Dependabot ».

À propos de la désactivation automatique des Dependabot updates

Lorsque les chargés de la maintenance d’un référentiel cessent d’interagir avec les demandes de tirage de Dependabot, Dependabot suspend temporairement ses mises à jour et vous en informe. Consultez Les demandes de tirage de mise à jour de Dependabot ne sont plus générées.

À propos des notifications pour les mises à jour de sécurité Dependabot

Vous pouvez filtrer vos notifications sur GitHub pour afficher les mises à jour de sécurité Dependabot. Pour plus d’informations, consultez « Gestion des notifications à partir de votre boîte de réception ».