Remarque : Règles de triage automatique de Dependabot sont actuellement en version bêta et sujets à mes modifications.
À propos des Règles de triage automatique de Dependabot
Les Règles de triage automatique de Dependabot vous permettent d’indiquer à Dependabot de trier automatiquement les Dependabot alerts. Vous pouvez utiliser des Règles de triage automatique pour ignorer ou désactiver temporairement certaines alertes automatiquement, ou spécifier les alertes pour lesquelles vous souhaitez que Dependabot ouvre des demandes de tirage.
Il existe deux types de Règles de triage automatique de Dependabot :
- Présélections GitHub
- Règles de triage automatique personnalisées
À propos de Présélections GitHub
Les Présélections GitHub pour Dependabot alerts sont des règles disponibles pour tous les dépôts.
Les Présélections GitHub sont des règles organisées par GitHub. Dismiss low impact issues for development-scoped dependencies est une règle prédéfinie pour GitHub. Cette règle ignore automatiquement certains types de vulnérabilités trouvées dans les dépendances npm utilisées dans le cadre du développement. La règle a été organisée de manière à réduire les faux positifs et la fatigue des alertes. La règle est activée par défaut pour les référentiels publics et peut être activée pour les dépôts privés. Toutefois, vous ne pouvez pas modifier les Présélections GitHub. Pour plus d’informations, consultez « Utilisation de règles prédéfinies GitHub pour classer les alertes Dependabot par ordre de priorité ».
À propos des Règles de triage automatique personnalisées
Règles de triage automatique personnalisées pour Dependabot alerts sont disponibles (gratuitement) sur les référentiels publics.
Grâce aux Règles de triage automatique personnalisées, vous pouvez créer vos propres règles pour ignorer ou rouvrir automatiquement des alertes en fonction de métadonnées ciblées, telles que la gravité, le nom du package, CWE, etc. Vous pouvez également spécifier les alertes pour lesquelles vous souhaitez que Dependabot ouvre des demandes de tirage. Pour plus d’informations, consultez « Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité ».
À propos de la suppression automatique des alertes
Bien qu’il puisse être utile d’utiliser des règles de triage automatique pour ignorer automatiquement les alertes, vous pouvez toujours rouvrir les alertes ignorées automatiquement et filtrer pour afficher les alertes qui ont été ignorées automatiquement. Pour plus d’informations, consultez « Gestion des alertes qui ont été ignorées automatiquement par une alerte de triage automatique Dependabot ».
Par ailleurs, les alertes masquées automatiquement restent toujours disponibles pour la création de rapports et la révision, et peuvent être rouvertes automatiquement en cas de modification des métadonnées d’alerte, par exemple :
- Si vous modifiez l’étendue d’une dépendance de développement à production.
- Si GitHub modifie certaines métadonnées pour l’avis associé.
Les alertes masquées automatiquement sont définies par le motif de fermeture resolution:auto-dismiss. L’activité de masquage automatique est incluse dans les webhooks d’alerte, dans les API REST et GraphQL, ainsi que dans le journal d’audit. Pour plus d’informations, consultez « Points de terminaison d’API REST pour Dependabot alerts », ainsi que la section « repository_vulnerability_alert » dans « Examen du journal d'audit de votre organisation ».