Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité

Vous pouvez créer vos propres Règles de triage automatique pour contrôler les alertes qui sont ignorées ou temporairement désactivées, et les alertes pour lesquelles vous souhaitez que Dependabot ouvre des demandes de tirage.

Qui peut utiliser cette fonctionnalité ?

People with write permissions can view Règles de triage automatique de Dependabot for the repository. People with admin permissions to a repository can enable or disable Règles de triage automatique for the repository, as well as create Règles de triage automatique personnalisées. Additionally, organization owners and security managers can set Règles de triage automatique at the organization-level and optionally choose to enforce rules for repositories in the organization.

Règles de triage automatique personnalisées pour Dependabot alerts sont disponibles (gratuitement) sur les référentiels publics.

Dans cet article

Remarque : Règles de triage automatique de Dependabot sont actuellement en version bêta et sujets à mes modifications.

À propos des Règles de triage automatique personnalisées

Vous pouvez créer vos propres Règles de triage automatique de Dependabot basées sur des métadonnées d’alerte. Vous pouvez choisir d’ignorer automatiquement les alertes indéfiniment ou de désactiver temporairement des alertes jusqu’à ce qu’une mise à jour corrective soit disponible, et vous pouvez spécifier les alertes pour lesquelles vous souhaitez que Dependabot ouvre les demandes de tirage.

Étant donné que toutes les règles que vous créez s’appliquent à la fois aux alertes futures et actuelles, vous pouvez également utiliser des Règles de triage automatique pour gérer vos Dependabot alerts en bloc.

Les administrateurs de dépôt peuvent créer des Règles de triage automatique personnalisées pour leurs dépôts publics.

Les propriétaires d’organisation et les gestionnaires de sécurité peuvent définir des Règles de triage automatique personnalisées au niveau de l’organisation, puis choisir si une règle est appliquée ou activée sur tous les référentiels publics de l’organisation.

  • Appliqué : si une règle au niveau de l’organisation est « appliquée », les administrateurs de dépôt ne peuvent pas modifier, désactiver ou supprimer la règle.
  • Activé : si une règle au niveau de l’organisation est « activée », les administrateurs de dépôt peuvent toujours désactiver la règle pour leur dépôt.

Remarque : si une règle au niveau de l’organisation et une règle au niveau du référentiel spécifient des comportements en conflit, l’action définie par la règle au niveau de l’organisation est prioritaire. Les règles de masquage agissent toujours avant les règles qui déclenchent des demandes de tirage de Dependabot.

Vous pouvez créer des règles pour cibler des alertes à l’aide des métadonnées suivantes :

  • ID CVE
  • CWE
  • Etendue de la dépendance (devDependency ou runtime)
  • Écosystème
  • ID GHSA
  • Chemin d’accès au manifeste (pour les règles au niveau du dépôt uniquement)
  • Nom du package
  • Disponibilité des retouches
  • Niveau de gravité

Interactions entre les Règles de triage automatique personnalisées et les Dependabot security updates

Vous pouvez utiliser des Règles de triage automatique personnalisées pour personnaliser les alertes pour lesquelles vous souhaitez que Dependabot ouvre des demandes de tirage. Toutefois, pour qu’une règle « ouvrir une demande de tirage » prenne effet, vous devez vous assurer que les Dependabot security updates sont désactivées pour le référentiel (ou les référentiels) auquel la règle doit s’appliquer.

Lorsque les Dependabot security updates sont activées pour un référentiel, Dependabot tente automatiquement d’ouvrir des demandes de tirage pour résoudre chaque alerte Dependabot ouverte qui a une mise à jour corrective disponible. Si vous préférez personnaliser ce comportement à l’aide d’une règle d’alerte, vous devez laisser les Dependabot security updates désactivés.

Pour plus d’informations sur l’activation ou la désactivation des Dependabot security updates pour un référentiel, consultez « Configuration des mises à jour de sécurité Dependabot ».

Ajout de Règles de triage automatique personnalisées à votre dépôt

Remarque : Avec la version bêta publique, vous pouvez créer jusqu’à 10 Règles de triage automatique personnalisées pour un dépôt.

  1. Dans GitHub.com, accédez à la page principale du dépôt.

  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  4. Sous « Dependabot alerts », cliquez sur en regard des règles « Dependabot ».

  5. Cliquez sur Nouvelle règle.

  6. Sous « Nom e la règle », décrivez l’effet de cette règle.

  7. Sous « État », utilisez le menu déroulant pour déterminer si la règle doit être activée ou désactivée pour le référentiel.

  8. Sous « Alertes cibles », sélectionnez les métadonnées que vous souhaitez utiliser pour filtrer les alertes.

  9. Sous « Règles », sélectionnez l’action que vous souhaitez effectuer sur les alertes qui correspondent aux métadonnées :

    • Sélectionnez Ignorer les alertes pour ignorer automatiquement les alertes qui correspondent aux métadonnées. Vous pouvez choisir d’ignorer les alertes indéfiniment ou jusqu’à ce qu’une mise à jour corrective soit disponible.
    • Sélectionnez Ouvrir une demande de tirage pour résoudre cette alerte si vous souhaitez que Dependabot suggère des modifications pour résoudre les alertes qui correspondent aux métadonnées ciblées. Notez que cette option n’est pas disponible si vous avez déjà sélectionné l’option pour ignorer les alertes indéfiniment, ou si les Dependabot security updates sont activées dans les paramètres de votre référentiel.

  10. Cliquez sur Créer une règle.

Ajout de Règles de triage automatique personnalisées à votre organisation

Remarque : Avec la version bêta publique, vous pouvez créer jusqu’à 25 Règles de triage automatique personnalisées pour votre organisation.

  1. Dans l’angle supérieur droit de GitHub.com, sélectionnez votre photo de profil, puis sur Vos organisations.

    Capture d’écran du menu déroulant sous l’image de profil de @octocat. « Vos organisations » est présenté en orange foncé.

  2. En regard de l’organisation, cliquez sur Paramètres.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

Note

Si votre organisation est inscrite dans security configurations et global settings version bêta publique, au lieu de « Sécurité et analyse du code », vous verrez un menu déroulant « Sécurité du code ». Sélectionnez Sécurité du code, puis cliquez sur Global settings. Pour connaître les étapes suivantes sur l’ajout des Règles de triage automatique de Dependabot à votre organisation avec global settings, consultez « Configuration des paramètres de sécurité globaux pour votre organisation ».

  1. Sous « Dependabot », puis sous « Dependabot alerts », cliquez sur en regard des règles « Dependabot ».
  2. Cliquez sur Nouvelle règle.
  3. Sous « Nom e la règle », décrivez l’effet de cette règle.
  4. Sous « État », utilisez le menu déroulant pour choisir la façon dont vous souhaitez appliquer la règle.
    • Choisissez Appliqué pour empêcher les administrateurs de référentiel de pouvoir modifier, désactiver ou supprimer la règle dans la page des paramètres du référentiel.
    • Choisissez Activé pour définir la règle par défaut pour tous les référentiels, tout en autorisant les administrateurs de référentiels à désactiver la règle dans la page des paramètres du référentiel.
    • Vous pouvez également choisir de définir la règle comme Désactivée, qui ne peut pas être remplacée au niveau du référentiel. Les règles désactivées sont masquées pour tous les référentiels.
  5. Sous « Alertes cibles », sélectionnez les métadonnées que vous souhaitez utiliser pour filtrer les alertes.
  6. Sous « Règles », sélectionnez l’action que vous souhaitez effectuer sur les alertes qui correspondent aux métadonnées :
    • Sélectionnez Ignorer les alertes pour ignorer automatiquement les alertes qui correspondent aux métadonnées. Vous pouvez choisir d’ignorer les alertes indéfiniment ou jusqu’à ce qu’une mise à jour corrective soit disponible.
    • Sélectionnez Ouvrir une demande de tirage pour résoudre cette alerte si vous souhaitez que Dependabot suggère des modifications pour résoudre les alertes qui correspondent aux métadonnées. Notez que cette option n’est pas disponible si vous avez sélectionné l’option pour ignorer indéfiniment les alertes.
  7. Cliquez sur Créer une règle.

Modification ou suppression de Règles de triage automatique personnalisées pour votre dépôt

  1. Dans GitHub.com, accédez à la page principale du dépôt.

  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  4. Sous « Dependabot alerts », cliquez sur en regard des règles « Dependabot ».

  5. Sous Règles de dépôt, à droite de la règle d’alerte que vous souhaitez modifier ou supprimer, cliquez sur .

  6. Pour modifier la règle, apportez des modifications aux champs applicables, puis cliquez sur Enregistrer la règle.

  7. Pour supprimer la règle, sous « Zone de danger », cliquez sur Supprimer la règle.

  8. Dans la boîte de dialogue « Voulez-vous vraiment supprimer cette règle ? », passez en revue les informations, puis cliquez sur Supprimer une règle.

Modification ou suppression de Règles de triage automatique personnalisées pour votre organisation

  1. Dans l’angle supérieur droit de GitHub.com, sélectionnez votre photo de profil, puis sur Vos organisations.

    Capture d’écran du menu déroulant sous l’image de profil de @octocat. « Vos organisations » est présenté en orange foncé.

  2. En regard de l’organisation, cliquez sur Paramètres.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

Note

Si votre organisation est inscrite dans security configurations et global settings version bêta publique, au lieu de « Sécurité et analyse du code », vous verrez un menu déroulant « Sécurité du code ». Sélectionnez Sécurité du code, puis cliquez sur Global settings. Pour connaître les étapes suivantes sur la modification ou la suppression des Règles de triage automatique de Dependabot de votre organisation avec global settings, consultez « Configuration des paramètres de sécurité globaux pour votre organisation ».

  1. Sous « Dependabot », puis sous « Dependabot alerts », cliquez sur en regard des règles « Dependabot ».
  2. Sous Règles d’organisation, à droite de la règle d’alerte que vous souhaitez modifier ou supprimer, cliquez sur .
  3. Pour modifier la règle, apportez des modifications aux champs applicables, puis cliquez sur Enregistrer la règle.
  4. Pour supprimer la règle, sous « Zone de danger », cliquez sur Supprimer la règle.
  5. Dans la boîte de dialogue « Voulez-vous vraiment supprimer cette règle ? », passez en revue les informations, puis cliquez sur Supprimer une règle.