À propos des alertes Dependabot

          Dependabot alerts vous aider à trouver et à corriger les dépendances vulnérables avant qu’elles ne deviennent des risques de sécurité.

Qui peut utiliser cette fonctionnalité ?

Dependabot alerts sont disponibles pour les dépôts appartenant à l'organisation ou à l’utilisateur.

Dans cet article

Le logiciel s’appuie souvent sur des packages provenant de différentes sources, créant des relations de dépendances qui peuvent inconsciemment introduire des vulnérabilités de sécurité. Lorsque votre code dépend de packages avec des vulnérabilités de sécurité connues, vous devenez une cible pour les attaquants qui cherchent à exploiter votre système, ce qui peut obtenir l’accès à votre code, vos données, vos clients ou vos contributeurs. Dependabot alerts informez-vous des dépendances vulnérables afin de pouvoir effectuer une mise à niveau vers des versions sécurisées et protéger votre projet.

Quand Dependabot envoie des alertes

          Dependabot analyse la branche par défaut de votre référentiel et envoie des alertes quand :
  • Une nouvelle vulnérabilité est ajoutée au GitHub Advisory Database
  • Votre graphe des dépendances change (par exemple, lorsque vous poussez des commits qui mettent à jour des packages ou des versions)

Pour les écosystèmes pris en charge, consultez Écosystèmes de packages pris en charge par le graphe des dépendances.

Comprendre les alertes

Lorsque GitHub détecte une dépendance vulnérable, une Dependabot alerte s’affiche dans la section des dépendances et le graphique du référentiel Security and quality. Chaque alerte inclut :

  • Lien vers le fichier concerné
  • Détails sur la vulnérabilité et sa gravité
  • Informations sur une version fixe (le cas échéant)

Pour plus d’informations sur l’affichage et la gestion des alertes, consultez Affichage et mise à jour des alertes Dependabot.

Qui peut activer les alertes ?

Les administrateurs de dépôts et les propriétaires d’organisations peuvent activer Dependabot alerts pour leurs dépôts et organisations. Lorsque cette option est activée, GitHub génère immédiatement le graphique de dépendances et crée des alertes pour toutes les dépendances vulnérables qu’elle identifie. Les administrateurs de référentiel peuvent accorder l’accès à d’autres personnes ou équipes.

Consultez Configuration d’alertes Dependabot.

Propriété et affectations d’alerte

Les utilisateurs ayant un accès en écriture ou supérieur peuvent attribuer Dependabot alerts aux collaborateurs du référentiel, aux équipes ou aux agents IA pour établir une propriété clairement définie pour la correction des vulnérabilités. Les affectations permettent de suivre qui est responsable de chaque alerte et d’empêcher les vulnérabilités d’être ignorées.

Vous pouvez affecter des alertes aux types d’agents suivants :

          Copilot
          **, agent IA intégré de GitHub.
  • Les agents tiers, tels que Le Codex ou Claude, lorsqu’ils sont activés dans vos paramètres de dépôt.

Lorsqu’une alerte est affectée à une personne ou à une équipe, le bénéficiaire reçoit une notification et l’alerte affiche son nom dans la liste des alertes. Vous pouvez filtrer les alertes par le destinataire pour suivre la progression.

Lorsqu'une alerte est assignée à un agent, l'agent crée automatiquement une session et ouvre une pull request en brouillon avec un correctif proposé. Si l’agent ne peut pas générer de correctif, il reste en tant qu'assigné, et vous pouvez cliquer sur Afficher la session dans la timeline des alertes pour consulter le journal de l’agent.

Remarque

La visibilité des affectations est actuellement limitée à la vue des alertes à l'échelle du référentiel. La vue d’ensemble de la sécurité à l’échelle de l’organisation n’affiche pas les affectations d’alertes.

Quand les assignés d’une alerte changent, GitHub envoie un assignees_changed événement webhook. Vous pouvez utiliser cet événement pour déclencher des flux de travail ou synchroniser des données d’affectation avec des systèmes externes. Pour plus d’informations, consultez « Événements et charges utiles du webhook ».

Automatisation et intégrations

Vous pouvez gérer les affectations d’alertes par programmation à l’aide de l’API REST. Pour plus d’informations, consultez « Points de terminaison d’API REST pour Dependabot alerts ».

Pour plus d’informations sur l’attribution d’alertes, consultez Affichage et mise à jour des alertes Dependabot.

Fonctionnement des notifications d’alerte

Par défaut, GitHub envoie des notifications par e-mail concernant les nouvelles alertes aux personnes qui à la fois :

  • Disposer d’autorisations d’écriture, de maintenance ou d’administrateur dans un référentiel
  • Surveillez le référentiel et avez activé les notifications pour les alertes de sécurité ou pour toutes les activités sur le référentiel

Vous pouvez remplacer le comportement par défaut en choisissant le type de notifications à recevoir ou en désactivant complètement les notifications dans la page paramètres de vos notifications utilisateur à l’adresse https://github.com/settings/notifications.

Quelles que soient vos préférences de notification, quand elle Dependabot est activée pour la première fois, GitHub n’envoie pas de notifications pour toutes les dépendances vulnérables trouvées dans votre référentiel. Au lieu de cela, vous recevrez des notifications pour les nouvelles dépendances vulnérables identifiées après Dependabot avoir été activées, si vos préférences de notification l’autorisent.

Si vous êtes préoccupé par la réception d’un trop grand nombre de notifications, nous vous recommandons d’utiliser cette option Règles de triage automatique de Dependabot pour ignorer automatiquement les alertes à faible risque. Les règles sont appliquées avant l’envoi des notifications d’alerte. Par conséquent, les alertes qui sont automatiquement ignorées lors de leur création n’envoient pas de notifications. Consultez À propos des règles de triage automatique de Dependabot.

Vous pouvez également opter pour la synthèse hebdomadaire des e-mails, ou même désactiver complètement les notifications tout en gardant Dependabot alerts activé.

Limites

          Dependabot alerts présentent certaines limitations :

  • Les alertes ne peuvent pas intercepter chaque problème de sécurité. Passez toujours en revue vos dépendances et conservez le manifeste et les fichiers de verrouillage à jour pour une détection précise.

  • De nouvelles vulnérabilités peuvent mettre du temps à apparaître dans le GitHub Advisory Database et à déclencher des alertes.

  • Seuls les avis examinés par GitHub déclenchent des alertes.

  • Dependabot n’analyse pas les dépôts archivés.

  • Pour GitHub Actions, les alertes sont générées uniquement pour les actions qui utilisent le contrôle de version sémantique, et non le contrôle de version SHA.

            GitHub ne divulgue jamais publiquement les vulnérabilités d’un dépôt.

Intégration GitHub Copilot Chat

Avec une GitHub Copilot Enterprise licence, vous pouvez poser les questions Discussion avec Copilot sur Dependabot alerts dans les dépôts de votre organisation. Pour plus d’informations, consultez « Poser des questions à GitHub Copilot sur GitHub ».

Lectures complémentaires