À propos des règles de triage automatique de Dependabot

Les Règles de triage automatique de Dependabot constituent un puissant outil pour vous aider à mieux gérer vos alertes de sécurité à grande échelle. Les Présélections GitHub sont des règles organisées par GitHub, que vous pouvez utiliser pour filtrer une quantité importante de faux positifs. Les Règles de triage automatique personnalisées permettent de contrôler les alertes ignorées ou suspendues, ou de déclencher un correctif de sécurité Dependabot pour résoudre l’alerte.

Qui peut utiliser cette fonctionnalité ?

Présélections GitHub sont disponibles pour tous les types de référentiels.

Règles de triage automatique personnalisées sont disponibles pour les types de référentiels suivants :

Dans cet article

À propos des Règles de triage automatique de Dependabot

Les Règles de triage automatique de Dependabot vous permettent de demander à Dependabot de trier automatiquement les Dependabot alerts. Vous pouvez utiliser les Règles de triage automatique pour ignorer ou suspendre automatiquement certaines alertes, ou pour spécifier les alertes pour lesquelles vous souhaitez que Dependabot ouvre des demandes de tirage. Les règles sont appliquées avant l’envoi des notifications d’alerte. Par conséquent, l’activation des règles qui rejettent automatiquement les alertes à faible risque permettra d’éviter le bruit des notifications pour les futures alertes correspondantes.

Il existe deux types de Règles de triage automatique de Dependabot :

  • Présélections GitHub
  • Règles de triage automatique personnalisées

À propos des Présélections GitHub

Remarque

Les Présélections GitHub pour Dependabot alerts sont des règles disponibles pour tous les dépôts.

Les Présélections GitHub sont des règles organisées par GitHub. Dismiss low impact issues for development-scoped dependencies est une règle prédéfinie pour GitHub. Cette règle ignore automatiquement certains types de vulnérabilités trouvées dans les dépendances npm utilisées dans le cadre du développement. La règle a été organisée de manière à réduire les faux positifs et la fatigue des alertes. Vous ne pouvez pas modifier Présélections GitHub. Pour plus d’informations sur Présélections GitHub, consultez Utiliser les règles prédéfinies GitHub pour prioriser les alertes Dependabot.

La règle est activée par défaut pour les dépôts publics et peut être activée manuellement pour les dépôts privés. Vous pouvez activer la règle pour un dépôt privé via l’onglet Paramètres du dépôt. Pour plus d’informations, consultez Activation de la règle Dismiss low impact issues for development-scoped dependencies pour votre dépôt privé.

À propos des Règles de triage automatique personnalisées

Remarque

Règles de triage automatique personnalisées pour Dependabot alerts sont disponibles pour les référentiels appartenant à l’organisation avec GitHub Code Security activé.

Grâce aux Règles de triage automatique personnalisées, vous pouvez créer vos propres règles pour ignorer ou rouvrir automatiquement des alertes en fonction de métadonnées ciblées, telles que la gravité, le nom du package, la CWE, et bien plus encore. Vous pouvez également spécifier les alertes pour lesquelles vous souhaitez que Dependabot ouvre des demandes de tirage. Pour plus d’informations, consultez « Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité ».

Vous pouvez créer des règles personnalisées depuis l’onglet Paramètres du dépôt, à condition que celui-ci appartienne à une organisation disposant d’une licence pour GitHub Code Security or GitHub Advanced Security. Pour plus d’informations, consultez Ajouter des règles de triage automatique personnalisées à votre dépôt.

À propos du rejet automatique des alertes

Bien qu’il puisse être utile d’utiliser des règles de triage automatique pour rejeter automatiquement les alertes, vous pouvez toujours rouvrir les alertes rejetées automatiquement et filtrer afin d’afficher les alertes qui ont été rejetées automatiquement. Pour plus d’informations, consultez « Gestion des alertes qui ont été ignorées automatiquement par une alerte de triage automatique Dependabot ».

Par ailleurs, les alertes rejetées automatiquement restent disponibles pour la création de rapports et la révision, et peuvent être rouvertes automatiquement en cas de modification des métadonnées de l’alerte, par exemple :

  • Si vous modifiez l’étendue d’une dépendance de développement à production.
  • Si GitHub modifie certaines métadonnées pour l’avis associé.

Les alertes masquées automatiquement sont définies par le motif de fermeture resolution:auto-dismiss. L’activité de masquage automatique est incluse dans les webhooks d’alerte, dans les API REST et GraphQL, ainsi que dans le journal d’audit. Pour plus d’informations, consultez Points de terminaison d’API REST pour Dependabot alerts, ainsi que la section « repository_vulnerability_alert » dans Examen du journal d’audit de votre organisation.

Lectures complémentaires

  •         [AUTOTITLE](/code-security/dependabot/dependabot-auto-triage-rules/using-github-preset-rules-to-prioritize-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-auto-triage-rules/customizing-auto-triage-rules-to-prioritize-dependabot-alerts)