Remarque
Votre administrateur de site doit configurer les Dependabot updates pour votre instance GitHub Enterprise Server afin que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez Activation de Dependabot pour votre entreprise.
Il se peut que vous ne puissiez pas activer ou désactiver Dependabot updates si le propriétaire de l'entreprise a défini une politique au niveau de l'entreprise. Pour plus d’informations, consultez « Application de stratégies de sécurité et d’analyse du code pour votre entreprise ».
Gestion des Dependabot security updates pour vos dépôts
Vous pouvez également activer ou désactiver les Dependabot security updates pour tous les référentiels qualifiés appartenant à votre compte personnel ou votre organisation. Pour plus d’informations, consultez Gestion des fonctionnalités de sécurité et d’analyse ou Gestion des paramètres de sécurité et d'analyse pour votre organisation.
Vous pouvez aussi activer ou désactiver les Dependabot security updates pour un référentiel individuel.
Activation ou désactivation des Dependabot security updates pour un référentiel individuel
-
Sur GitHub, accédez à la page principale du référentiel.
-
Sous le nom de votre référentiel, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.
-
Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.
-
À droite de « Dependabot security updates », cliquez sur Activer pour activer la fonctionnalité ou sur Désactiver pour la désactiver.
Regroupement des Dependabot security updates dans une seule pull request
Pour utiliser le regroupement des mises à jour de sécurité, vous devez d’abord activer les fonctionnalités suivantes :
-
**Graphique des dépendances**. Pour plus d’informations, consultez « [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-the-dependency-graph) ». -
**Dependabot alerts**. Pour plus d’informations, consultez « [AUTOTITLE](/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts) ». -
**Dependabot security updates**. Pour plus d’informations, consultez « [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates) ».
Remarque
Lors de la première activation du regroupement des mises à jour de sécurité, Dependabot tente immédiatement de créer des pull requests regroupées. Vous pouvez constater que Dependabot ferme d’anciennes pull requests et en ouvre de nouvelles.
Vous pouvez activer les demandes de tirage (pull requests) groupées pour Dependabot security updates d’une ou des deux manières suivantes.
- Pour regrouper autant de mises à jour de sécurité disponibles que possible, à travers les répertoires et par écosystème, activez le regroupement dans les paramètres « Advanced Security » pour votre référentiel, ou dans les « Paramètres globaux » sous Advanced Security pour votre organisation.
- Pour un contrôle plus précis du regroupement, tel que le regroupement par nom de package, par dépendance de développement/production ou par niveau SemVer, ou à travers plusieurs répertoires par écosystème, ajoutez des options de configuration au fichier de configuration
dependabot.ymldans votre référentiel.
Remarque
Si vous avez configuré des règles de groupe pour Dependabot security updates dans un fichier dependabot.yml, toutes les mises à jour disponibles sont regroupées en fonction des règles que vous avez spécifiées. Dependabot regroupe uniquement les annuaires non configurés dans votre dependabot.yml si le paramètre des correctifs de sécurité groupés au niveau de l’organisation ou du référentiel est également activé.
Activation ou désactivation du regroupement des Dependabot security updates pour un référentiel individuel
-
Sur GitHub, accédez à la page principale du référentiel.
-
Sous le nom de votre référentiel, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.
-
Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.
-
Sous « Dependabot », à droite de « Mises à jour de sécurité groupées », cliquez sur Activer pour activer la fonctionnalité ou sur Désactiver pour la désactiver.
Activation ou désactivation du regroupement des Dependabot security updates pour une organisation
Vous pouvez activer le regroupement des Dependabot security updates dans une seule pull request. Pour plus d’informations, consultez « Configuration des paramètres de sécurité globaux pour votre organisation ».
Substitution du comportement par défaut avec un fichier de configuration
Vous pouvez remplacer le comportement par défaut de Dependabot security updates en ajoutant un fichier dependabot.yml à votre dépôt. Avec un fichier dependabot.yml, vous pouvez contrôler plus finement le regroupement et remplacer le comportement par défaut des paramètres de Dependabot security updates.
Utilisez l’option groups avec la clé applies-to: security-updates pour créer des ensembles de dépendances (par gestionnaire de paquets), afin que Dependabot ouvre une seule pull request pour mettre à jour plusieurs dépendances en même temps. Vous pouvez définir des groupes par nom de paquet (clés patterns et exclude-patterns), par type de dépendance (clé dependency-type) et par version SemVer (clé update-types).
Dependabot crée des groupes dans l'ordre où ils apparaissent dans votre fichier dependabot.yml. Si une mise à jour de dépendance peut appartenir à plusieurs groupes, elle n’est affectée qu’au premier groupe avec lequel elle correspond.
Si vous avez uniquement besoin de mises à jour de sécurité et souhaitez exclure les mises à jour de version, vous pouvez définir open-pull-requests-limit sur 0 afin d’empêcher les mises à jour de version pour un package-ecosystem donné.
Pour plus d’informations sur les options de configuration disponibles pour les mises à jour de sécurité, consultez Personnalisation des demandes de tirage pour les mises à jour de sécurité de Dependabot.
# Example configuration file that:
# - Has a private registry
# - Ignores lodash dependency
# - Disables version-updates
# - Defines a group by package name, for security updates for golang dependencies
version: 2
registries:
example:
type: npm-registry
url: https://example.com
token: ${{secrets.NPM_TOKEN}}
updates:
- package-ecosystem: "npm"
directory: "/src/npm-project"
schedule:
interval: "daily"
# For Lodash, ignore all updates
ignore:
- dependency-name: "lodash"
# Disable version updates for npm dependencies
open-pull-requests-limit: 0
registries:
- example
- package-ecosystem: "gomod"
groups:
golang:
applies-to: security-updates
patterns:
- "golang.org*"
# Example configuration file that:
# - Has a private registry
# - Ignores lodash dependency
# - Disables version-updates
# - Defines a group by package name, for security updates for golang dependencies
version: 2
registries:
example:
type: npm-registry
url: https://example.com
token: ${{secrets.NPM_TOKEN}}
updates:
- package-ecosystem: "npm"
directory: "/src/npm-project"
schedule:
interval: "daily"
# For Lodash, ignore all updates
ignore:
- dependency-name: "lodash"
# Disable version updates for npm dependencies
open-pull-requests-limit: 0
registries:
- example
- package-ecosystem: "gomod"
groups:
golang:
applies-to: security-updates
patterns:
- "golang.org*"
Remarque
Pour que Dependabot utilise cette configuration pour les mises à jour de sécurité, le directory doit correspondre au chemin vers les fichiers de manifeste, et vous ne devez pas spécifier de target-branch.
Lectures complémentaires
-
[AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts) -
[AUTOTITLE](/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts) -
[AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/dependency-graph-supported-package-ecosystems#supported-package-ecosystems)