Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.

À propos des alertes Dependabot

GitHub envoie des Dependabot alerts lorsque nous détectons que votre référentiel utilise une dépendance vulnérable ou un logiciel malveillant.

Les Dependabot alerts gratuites à l’utilisation pour tous les référentiels sur GitHub.com.

À propos des Dependabot alerts

Remarque : Les conseillers en matière de programme malveillant sont actuellement en version bêta et susceptibles de changer.

Les Dependabot alerts vous indiquent que votre code dépend d’un package non sécurisé.

Si votre code dépend d’un package qui a une vulnérabilité de sécurité, cela peut entraîner un éventail de problèmes pour votre projet ou les personnes qui l’utilisent. Vous devez mettre à niveau vers une version sécurisée du package dès que possible. Si votre code utilise des programmes malveillants, vous devez remplacer le package par une alternative sécurisée.

Pour plus d’informations, consultez « Exploration des avis de sécurité dans la GitHub Advisory Database ».

Détection des dépendances non sécurisées

Dependabot effectue une analyse pour détecter les dépendances non sécurisées et émet des Dependabot alerts quand :

  • Un nouvel avis est ajouté à la GitHub Advisory Database. Pour plus d’informations, consultez « Exploration des avis de sécurité dans la GitHub Advisory Database ».

    Remarque : Seuls les avis qui ont été révisés par GitHub déclenchent des Dependabot alerts.

  • Le graphe des dépendances d’un dépôt change. C’est par exemple le cas quand un contributeur pousse (push) un commit pour changer les packages ou les versions dont il dépend ou quand le code de l’une des dépendances change. Pour plus d’informations, consultez « À propos du graphe de dépendances ».

En outre, GitHub peut passer en revue les dépendances ajoutées, mises à jour ou supprimées dans une demande de tirage faite sur la branche par défaut d’un dépôt, et marquer tous les changements qui réduiraient la sécurité de votre projet. Ceci vous permet de repérer et de gérer les dépendances vulnérables ou les logiciels malveillants avant, et non pas après, qu’ils atteignent votre codebase. Pour plus d’informations, consultez « Révision des changements de dépendances dans une demande de tirage ».

Pour obtenir la liste des écosystèmes dont GitHub peut détecter les dépendances non sécurisées, consultez « Écosystèmes de package pris en charge ».

Remarque : Il est important de tenir à jour vos fichiers manifeste et de verrouillage. Si le graphe de dépendances ne reflète pas précisément vos dépendances et versions actuelles, vous pouvez manquer des alertes pour les dépendances non sécurisées que vous utilisez. Vous pouvez également obtenir des alertes pour des dépendances que vous n’utilisez plus.

Configuration de Dependabot alerts

GitHub détecte les dépendances vulnérables et programmes malveillants dans les dépôts publics et affiche le graphe de dépendances, mais ne génère pas d’Dependabot alerts par défaut. Les propriétaires de dépôts ou les personnes disposant d’un accès administrateur peuvent activer les Dependabot alerts pour les dépôts publics. Les propriétaires de dépôts privés ou les personnes disposant d’un accès administrateur peuvent activer les Dependabot alerts en activant le graphe de dépendances et les Dependabot alerts pour leurs dépôts.

Vous pouvez également activer ou désactiver les Dependabot alerts pour tous les dépôts appartenant à votre compte d’utilisateur ou organisation. Pour plus d’informations, consultez « Configuration des Dependabot alerts ».

Pour plus d’informations sur les exigences d’accès pour les actions liées aux Dependabot alerts, consultez « Rôles de dépôt pour une organisation ».

GitHub commence à générer le graphe de dépendances immédiatement et génère des alertes pour toutes les dépendances non sécurisées dès qu’elles sont identifiées. Le graphe est généralement rempli en quelques minutes, mais cela peut prendre plus de temps pour les dépôts avec de nombreuses dépendances. Pour plus d’informations, consultez « Gestion des paramètres d’utilisation des données pour votre dépôt privé ».

Quand GitHub identifie une dépendance vulnérable ou un logiciel malveillant, nous générons une alerte Dependabot et l’affichons sous l’onglet Sécurité du dépôt et dans le graphe de dépendances du dépôt. L’alerte inclut un lien vers le fichier affecté dans le projet et des informations sur une version corrigée. GitHub peut également avertir les chargés de maintenance des dépôts affectés de la nouvelle alerte en fonction de leurs préférences de notification. Pour plus d’informations, consultez « Configuration des notifications pour Dependabot alerts ».

Pour les dépôts où les Dependabot security updates sont activées, l’alerte peut également contenir un lien vers une demande de tirage afin de mettre à jour le fichier manifeste ou de verrouillage vers la version minimale qui résout la vulnérabilité. Pour plus d’informations, consultez « À propos des Dependabot security updates ».

Remarque : Les fonctions de sécurité de GitHub ne prétendent pas détecter toutes les vulnérabilités et tous les programmes malveillants. Nous maintenons activement la GitHub Advisory Database et générons des alertes avec les informations les plus récentes. Toutefois, nous ne pouvons pas tout intercepter ou vous informer des vulnérabilités connues dans un délai garanti. Ces fonctionnalités ne se substituent pas à un examen par des humains de chaque dépendance pour les vulnérabilités potentielles ou tout autre problème, et nous vous recommandons de consulter un service de sécurité ou d’effectuer un examen minutieux des dépendances quand cela est nécessaire.

Accès aux Dependabot alerts

Vous pouvez voir toutes les alertes qui affectent un projet particulier sous l’onglet Sécurité du dépôt ou dans le graphe de dépendances du dépôt. Pour plus d’informations, consultez « Affichage et mise à jour des Dependabot alerts ».

Par défaut, nous informons les personnes disposant d’autorisations d’administrateur dans les dépôts affectés sur les nouvelles Dependabot alerts. GitHub ne révèle jamais publiquement les dépendances non sécurisées pour un référentiel. Vous pouvez également rendre les Dependabot alerts visibles par d’autres personnes ou équipes travaillant sur des dépôts dont vous êtes propriétaire ou sur lesquels vous disposez d’autorisations d’administrateur. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ».

Pour recevoir des notifications sur les Dependabot alerts dans les dépôts, vous devez surveiller ces dépôts et vous abonner pour recevoir des notifications « Toutes les activités » ou configurer des paramètres personnalisés pour inclure « Alertes de sécurité ». Pour plus d’informations, consultez « Configuration de vos paramètres de surveillance pour un dépôt spécifique ». Vous pouvez choisir la méthode de remise des notifications, ainsi que la fréquence à laquelle elles sont envoyées. Pour plus d’informations, consultez « Configuration des notifications pour Dependabot alerts ».

Vous pouvez également voir toutes les Dependabot alerts qui correspondent à un avis particulier dans la GitHub Advisory Database. Pour plus d’informations, consultez « Exploration des avis de sécurité dans la GitHub Advisory Database ».

Pour aller plus loin