À propos des Règles de triage automatique personnalisées
Vous pouvez créer vos propres Règles de triage automatique de Dependabot basées sur des métadonnées d’alerte. Vous pouvez choisir d’ignorer automatiquement les alertes indéfiniment ou de désactiver temporairement des alertes jusqu’à ce qu’une mise à jour corrective soit disponible, et vous pouvez spécifier les alertes pour lesquelles vous souhaitez que Dependabot ouvre les demandes de tirage.
Étant donné que toutes les règles que vous créez s’appliquent à la fois aux alertes futures et actuelles, vous pouvez également utiliser des Règles de triage automatique pour gérer vos Dependabot alerts en bloc.
Les administrateurs de dépôt peuvent créer des Règles de triage automatique personnalisées pour leurs dépôts publics.
Les propriétaires d’organisation et les gestionnaires de sécurité peuvent définir des Règles de triage automatique personnalisées au niveau de l’organisation, puis choisir si une règle est appliquée ou activée sur tous les référentiels publics de l’organisation.
- Appliqué : si une règle au niveau de l’organisation est « appliquée », les administrateurs de dépôt ne peuvent pas modifier, désactiver ou supprimer la règle.
- Activé : si une règle au niveau de l’organisation est « activée », les administrateurs de dépôt peuvent toujours désactiver la règle pour leur dépôt.
Remarque : si une règle au niveau de l’organisation et une règle au niveau du référentiel spécifient des comportements en conflit, l’action définie par la règle au niveau de l’organisation est prioritaire. Les règles de masquage agissent toujours avant les règles qui déclenchent des demandes de tirage de Dependabot.
Vous pouvez créer des règles pour cibler des alertes à l’aide des métadonnées suivantes :
- ID CVE
- CWE
- Etendue de la dépendance (
devDependency
ouruntime
) - Écosystème
- ID GHSA
- Chemin d’accès au manifeste (pour les règles au niveau du dépôt uniquement)
- Nom du package
- Disponibilité des retouches
- Niveau de gravité
Interactions entre les Règles de triage automatique personnalisées et les Dependabot security updates
Vous pouvez utiliser des Règles de triage automatique personnalisées pour personnaliser les alertes pour lesquelles vous souhaitez que Dependabot ouvre des demandes de tirage. Toutefois, pour qu’une règle « ouvrir une demande de tirage » prenne effet, vous devez vous assurer que les Dependabot security updates sont désactivées pour le référentiel (ou les référentiels) auquel la règle doit s’appliquer.
Lorsque les Dependabot security updates sont activées pour un référentiel, Dependabot tente automatiquement d’ouvrir des demandes de tirage pour résoudre chaque alerte Dependabot ouverte qui a une mise à jour corrective disponible. Si vous préférez personnaliser ce comportement à l’aide d’une règle d’alerte, vous devez laisser les Dependabot security updates désactivés.
Pour plus d’informations sur l’activation ou la désactivation des Dependabot security updates pour un référentiel, consultez « Configuration des mises à jour de sécurité Dependabot ».
Ajout de Règles de triage automatique personnalisées à votre dépôt
Remarque : Avec la version bêta publique, vous pouvez créer jusqu’à 10 Règles de triage automatique personnalisées pour un dépôt.
-
Dans GitHub.com, accédez à la page principale du dépôt.
-
Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.
-
Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.
-
Sous « Dependabot alerts », cliquez sur en regard des règles « Dependabot ».
-
Cliquez sur Nouvelle règle.
-
Sous « Nom e la règle », décrivez l’effet de cette règle.
-
Sous « État », utilisez le menu déroulant pour déterminer si la règle doit être activée ou désactivée pour le référentiel.
-
Sous « Alertes cibles », sélectionnez les métadonnées que vous souhaitez utiliser pour filtrer les alertes.
-
Sous « Règles », sélectionnez l’action que vous souhaitez effectuer sur les alertes qui correspondent aux métadonnées :
- Sélectionnez Ignorer les alertes pour ignorer automatiquement les alertes qui correspondent aux métadonnées. Vous pouvez choisir d’ignorer les alertes indéfiniment ou jusqu’à ce qu’une mise à jour corrective soit disponible.
- Sélectionnez Ouvrir une demande de tirage pour résoudre cette alerte si vous souhaitez que Dependabot suggère des modifications pour résoudre les alertes qui correspondent aux métadonnées ciblées. Notez que cette option n’est pas disponible si vous avez déjà sélectionné l’option pour ignorer les alertes indéfiniment, ou si les Dependabot security updates sont activées dans les paramètres de votre référentiel.
-
Cliquez sur Créer une règle.
Ajout de Règles de triage automatique personnalisées à votre organisation
Vous pouvez ajouter des Règles de triage automatique personnalisées pour tous les dépôts éligibles de votre organisation. Pour plus d’informations, consultez « Configuration des paramètres de sécurité globaux pour votre organisation ».
Modification ou suppression de Règles de triage automatique personnalisées pour votre dépôt
-
Dans GitHub.com, accédez à la page principale du dépôt.
-
Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.
-
Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.
-
Sous « Dependabot alerts », cliquez sur en regard des règles « Dependabot ».
-
Sous Règles de dépôt, à droite de la règle d’alerte que vous souhaitez modifier ou supprimer, cliquez sur .
-
Pour modifier la règle, apportez des modifications aux champs applicables, puis cliquez sur Enregistrer la règle.
-
Pour supprimer la règle, sous « Zone de danger », cliquez sur Supprimer la règle.
-
Dans la boîte de dialogue « Voulez-vous vraiment supprimer cette règle ? », passez en revue les informations, puis cliquez sur Supprimer une règle.
Modification ou suppression de Règles de triage automatique personnalisées pour votre organisation
Vous pouvez modifier ou supprimer des Règles de triage automatique personnalisées pour tous les dépôts éligibles de votre organisation. Pour plus d’informations, consultez « Configuration des paramètres de sécurité globaux pour votre organisation ».