Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.

Affichage et mise à jour des alertes Dependabot

Si GitHub Enterprise Cloud découvre des dépendances non sécurisées dans votre projet, vous pouvez afficher des détails sur l’onglet Alertes Dependabot de votre référentiel. Ensuite, vous pouvez mettre à jour votre projet pour résoudre ou ignorer l’alerte.

Qui peut utiliser cette fonctionnalité

Repository administrators and organization owners can view and update dependencies, as well as users and teams with explicit access.

L’onglet Dependabot alerts de votre dépôt liste toutes les Dependabot alerts ouvertes et fermées et les Dependabot security updates correspondantes. Vous pouvez filtrer les alertes par package, écosystème ou manifeste. Vous pouvez trier la liste des alertes. Cliquez dans des alertes spécifiques pour plus de détails. Vous pouvez également ignorer ou rouvrir des alertes, une par une ou en sélectionnant plusieurs alertes à la fois. Pour plus d’informations, consultez « À propos de Dependabot alerts ».

Vous pouvez activer les mises à jour de sécurité automatiques pour n’importe quel dépôt qui utilise les Dependabot alerts et le graphe de dépendances. Pour plus d’informations, consultez « À propos des Dependabot security updates ».

À propos des mises à jour des dépendances vulnérables dans votre dépôt

GitHub Enterprise Cloud génère Dependabot alerts quand nous détectons que votre codebase utilise des dépendances avec des risques de sécurité connus. Pour les dépôts où les Dependabot security updates sont activées, quand GitHub Enterprise Cloud détecte une dépendance vulnérable dans la branche par défaut, Dependabot crée une demande de tirage (pull request) pour la corriger. La demande de tirage met à niveau la dépendance vers la version sécurisée minimale nécessaire pour éviter la vulnérabilité.

Chaque alerte Dependabot a un identificateur numérique unique et l’onglet the Dependabot alerts liste une alerte pour chaque vulnérabilité détectée. Les Dependabot alerts héritées ont regroupé les vulnérabilités par dépendance et ont généré une alerte unique par dépendance. Si vous accédez à une alerte Dependabot, vous êtes redirigé vers un onglet Dependabot alerts filtré pour ce package.

Vous pouvez filtrer et trier des Dependabot alerts en utilisant divers filtres et options de tri disponibles dans l’interface utilisateur. Pour plus d’informations, consultez « Hiérarchisation des Dependabot alerts » ci-dessous.

Hiérarchisation des Dependabot alerts

GitHub vous permet d’établir des priorités pour corriger les Dependabot alerts. Par défaut, les Dependabot alerts sont triées par ordre d’importance. L’ordre de tri « Le plus important » vous permet d’établir des priorités dans les Dependabot alerts sur lesquelles vous concentrer en premier. Les alertes sont classées en fonction de leur impact potentiel, de leur actionnabilité et de leur pertinence. Notre calcul de priorisation est en constante amélioration et inclut des facteurs tels que le score CVSS, l’étendue des dépendances et si les appels de fonction vulnérables sont trouvés pour l’alerte.

Capture d’écran du menu déroulant Trier avec le tri « Le plus important »

Vous pouvez trier et filtrer les Dependabot alerts en tapant des filtres sous forme de paires key:value dans la barre de recherche.

OptionDescriptionExemple
ecosystemAffiche des alertes pour l’écosystème sélectionnéUtiliser ecosystem:npm pour afficher des Dependabot alerts pour npm
hasAffiche les alertes répondant aux critères de filtre sélectionnésUtiliser has:patch pour afficher les alertes liées aux avis qui comportent un correctif
Utiliser has:vulnerable-calls pour afficher les alertes relatives aux appels aux fonctions vulnérables
isAffiche les alertes en fonction de leur étatUtiliser is:open pour afficher les alertes ouvertes
manifestAffiche les alertes du manifeste sélectionnéUtiliser manifest:webwolf/pom.xml pour afficher les alertes sur le fichier pom.xml de l’application webwolf
packageAffiche les alertes du package sélectionnéUtiliser package:django pour afficher les alertes pour django
resolutionAffiche les alertes de l’état de résolution sélectionnéUtiliser resolution:no-bandwidth pour afficher les alertes précédemment parquées en raison d’un manque de ressources ou d’un délai de correction
repoAffiche les alertes en fonction du dépôt auquel elles sont liées
Notez que ce filtre est disponible uniquement sur la vue d’ensemble de la sécurité. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ».
Utiliser repo:octocat-repo pour afficher les alertes dans le dépôt appelé octocat-repo
scopeAffiche des alertes en fonction de l’étendue de la dépendance à laquelle elles sont liéesUtiliser scope:development pour afficher les alertes des dépendances utilisées uniquement pendant le développement
severityAffiche les alertes en fonction de leur niveau de gravitéUtiliser severity:high pour afficher les alertes dont le niveau de gravité est élevé
sortAffiche les alertes en fonction de l’ordre de tri sélectionnéL’option de tri par défaut des alertes est sort:most-important, qui permet de les classer par importance
Utiliser sort:newest pour afficher les dernières alertes signalées par Dependabot

En plus des filtres disponibles via la barre de recherche, vous pouvez trier et filtrer les Dependabot alerts à l’aide des menus déroulants situés en haut de la liste d’alertes. Pour filtrer par étiquette, vous pouvez également cliquer sur une étiquette affectée à une alerte pour appliquer automatiquement ce filtre à la liste des alertes.

La barre de recherche permet également la recherche en texte intégral d’alertes et des avis de sécurité associés. Vous pouvez rechercher une partie d’un nom ou d’une description d’avis de sécurité pour retourner les alertes de votre dépôt qui se rapportent à cet avis de sécurité. Par exemple, la recherche de yaml.load() API could execute arbitrary code retourne les Dependabot alerts liées à « PyYAML désérialise de manière non sécurisée les chaînes YAML entraînant une exécution arbitraire du code », car la chaîne de recherche apparaît dans la description de l’avis.

Capture d’écran du filtre et des menus de tri sous l’onglet des Dependabot alerts

Écosystèmes et manifestes pris en charge pour l’étendue des dépendances

Le tableau ci-dessous résume si l’étendue des dépendances est prise en charge pour divers écosystèmes et manifestes, c’est-à-dire si Dependabot peut identifier si une dépendance est utilisée pour le développement ou la production.

| Langage | Écosystème | Fichier manifeste | Étendue de dépendance prise en charge | |:---|:---:|:---:|:---| | Dart | pub | pubspec.yaml | ✔ | | Dart | pub | pubspec.lock | ✔ | | Go | Modules Go | go.mod | Non, utilise runtime par défaut | | Go | Modules Go | go.sum | Non, utilise runtime par défaut | | Java | Maven | pom.xml | ✔ test est mappé au développement, ou au runtime par défaut | | JavaScript | npm | package.json | ✔ | | JavaScript | npm | package-lock.json | ✔ | | JavaScript | yarn v1 | yarn.lock | Non, utilise runtime par défaut | | PHP | Composer | composer.json | ✔ | | PHP | Composer | composer.lock | ✔ | | Python | Poetry | poetry.lock | ✔ | | Python | Poetry | pyproject.toml | ✔ | | Python | pip | requirements.txt | ✔ L’étendue est « développement » si le nom de fichier contient test ou dev, sinon runtime est utilisé | | Python | pip | pipfile.lock | ✔ | | Python | pip | pipfile | ✔ | | Ruby | RubyGems | Gemfile | ✔ | | Ruby | RubyGems | Gemfile.lock | Non, utilise runtime par défaut | | Rust | Cargo | Cargo.toml | ✔ | | Rust | Cargo | Cargo.lock | Non, utilise runtime par défaut| | YAML | GitHub Actions | - | Non, utilise runtime par défaut | | .NET (C#, F#, VB, etc.) | NuGet | .csproj / .vbproj .vcxproj / .fsproj | Non, utilise runtime par défaut | | .NET | NuGet | packages.config | Non, utilise runtime par défaut | | .NET | NuGet | .nuspec | ✔ Si l’étiquette != runtime |

Les alertes pour les packages répertoriés comme dépendances de développement sont marquées avec l’étiquette Development page Dependabot alerts et sont également disponibles pour le filtrage via le filtre scope.

Capture d’écran montrant l’étiquette « Développement » dans la liste des alertes

La page Détails de l’alerte des alertes sur les packages étendus au développement affiche une section « Balises » contenant une étiquette Development.

Capture d’écran montrant la section « Balises » dans la page Détails de l’alerte

À propos de la détection des appels aux fonctions vulnérables

Remarques :

  • La détection des appels aux fonctions vulnérables par Dependabot est en version bêta et susceptible d’être modifiée.

  • La détection des appels vulnérables est incluse dans GitHub Enterprise Cloud pour les référentiels publics. Pour détecter les appels vulnérables dans des référentiels privés appartenant à des organisations, votre organisation doit disposer d’une licence pour GitHub Advanced Security. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

Quand Dependabot vous indique que votre dépôt utilise une dépendance vulnérable, vous devez déterminer les fonctions vulnérables et vérifier si vous les utilisez. Une fois que vous disposez de ces informations, vous pouvez déterminer l’urgence dont vous avez besoin pour effectuer une mise à niveau vers une version sécurisée de la dépendance.

Pour les langages prises en charge, Dependabot détecte automatiquement si vous utilisez une fonction vulnérable et ajoute l’étiquette « Appel vulnérable » aux alertes affectées. Vous pouvez utiliser ces informations dans la vue Dependabot alerts pour trier et hiérarchiser plus efficacement le travail de correction.

Remarque : Avec la version bêta, cette fonctionnalité est disponible uniquement pour les nouveaux avis Python créés après le 14 avril 2022 et pour un sous-ensemble d’avis Python historiques. GitHub fonctionne pour renvoyer des données dans des avis Python historiques supplémentaires, qui sont ajoutés en continu. Les appels vulnérables sont mis en évidence uniquement dans les pages Dependabot alerts.

Capture d’écran montrant une alerte avec l’étiquette « Appel vulnérable »

Vous pouvez filtrer la vue pour afficher uniquement les alertes où Dependabot a détecté au moins un appel à une fonction vulnérable à l’aide du filtre has:vulnerable-calls dans le champ de recherche.

Pour les alertes où des appels vulnérables sont détectés, la page des détails de l’alerte affiche des informations supplémentaires :

  • Un ou plusieurs blocs de code montrant où la fonction est utilisée.
  • Annotation répertoriant la fonction elle-même, avec un lien vers la ligne où la fonction est appelée.

Capture d’écran montrant la page des détails de l’alerte pour une alerte avec une étiquette « Appel vulnérable »

Pour plus d’informations, consultez « Révision et correction des alertes » ci-dessous.

Affichage Dependabot alerts

  1. Dans GitHub.com, accédez à la page principale du dépôt. 1. Sous le nom du dépôt, cliquez sur Sécurité. Onglet Sécurité 1. Dans la barre latérale, cliquez sur Dependabot alerts . Si cette option est absente, cela signifie que vous n'avez pas accès aux alertes de sécurité et que vous devez y avoir accès. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ». Dependabot alerts onglet

  2. Pour filtrer les alertes, vous pouvez sélectionner un filtre dans un menu déroulant, puis cliquer sur le filtre que vous souhaitez appliquer. Vous pouvez également taper des filtres dans la barre de recherche. Pour filtrer par étiquette, vous pouvez également cliquer sur une étiquette affectée à une alerte pour appliquer automatiquement ce filtre à la liste des alertes. Pour plus d’informations sur le filtrage et le tri des alertes, consultez « Hiérarchisation des Dependabot alerts ». Capture d’écran des menus de filtre et de tri sous l’onglet des Dependabot alerts

  3. Cliquez sur l’alerte que vous souhaitez afficher. Alerte sélectionnée dans la liste des alertes

  4. Si vous le souhaitez, pour suggérer une amélioration de l’avis de sécurité associé, sur le côté droit de la page des détails de l’alerte, cliquez sur Suggérer des améliorations pour cet avis sur la GitHub Advisory Database . Pour plus d’informations, consultez « Modification des avis de sécurité dans la base de données GitHub Advisory ».

    Capture d’écran montrant un lien vers la GitHub Advisory Database

Examen et résolution des alertes

Il est important de s’assurer que toutes vos dépendances sont exemptes de toute faille de sécurité. Quand Dependabot détecte des vulnérabilités ou programme malveillant dans vos dépendances, vous devez évaluer le niveau d’exposition de votre projet et déterminer les étapes de correction à suivre pour sécuriser votre application.

Si une version corrigée de la dépendance est disponible, vous pouvez générer une demande de tirage (pull request) Dependabot pour mettre à jour cette dépendance directement à partir d’une alerte Dependabot. Si vous avez les Dependabot security updates activées, la demande de tirage (pull request) peut être liée dans l’alerte Dependabot.

Dans les cas où une version corrigée n’est pas disponible ou si vous ne pouvez pas effectuer de mise à jour vers la version sécurisée, Dependabot partage des informations supplémentaires pour vous aider à déterminer les étapes suivantes. Quand vous cliquez pour afficher une alerte Dependabot, vous pouvez voir les détails complets de l’avis de sécurité pour la dépendance, y compris les fonctions affectées. Vous pouvez ensuite vérifier si votre code appelle les fonctions impactées. Ces informations peuvent vous aider à mieux évaluer votre niveau de risque et à déterminer les solutions de contournement ou si vous êtes en mesure d’accepter le risque représenté par le conseil de sécurité.

Pour les langages pris en charge, Dependabot détecte les appels aux fonctions vulnérables pour vous. Quand vous affichez une alerte étiquetée « Appel vulnérable », les détails incluent le nom de la fonction et un lien vers le code qui l’appelle. Souvent, vous serez en mesure de prendre des décisions basées sur ces informations, sans explorer plus loin.

Correction des dépendances vulnérables

  1. Affichez les détails d’une alerte. Pour plus d’informations, consultez « Affichage Dependabot alerts » (ci-dessus).

  2. Si les Dependabot security updates sont activées, il peut y avoir un lien vers une demande de tirage qui corrigera la dépendance. Vous pouvez également cliquer sur Créer la mise à jour de sécurité Dependabot en haut de la page des détails de l’alerte pour créer une demande de tirage. Bouton Créer une mises à jour de sécurité Dependabot

  3. Éventuellement, si vous n’utilisez pas les Dependabot security updates, vous pouvez utiliser les informations de la page pour décider vers quelle version de la dépendance mettre à niveau et créer une demande de tirage pour mettre à jour la dépendance vers une version sécurisée.

  4. Quand vous êtes prêt à mettre à jour votre dépendance et à résoudre la vulnérabilité, fusionnez la demande de tirage.

    Chaque demande de tirage émise par Dependabot comprend des informations sur les commandes que vous pouvez utiliser pour contrôler Dependabot. Pour plus d’informations, consultez « Gestion des demandes de tirage pour les mises à jour des dépendances ».

Ignorer les Dependabot alerts

Conseil : Vous ne pouvez ignorer que les alertes ouvertes.

Si vous planifiez un travail de grande ampleur pour mettre à niveau une dépendance ou si vous décidez qu’une alerte n’a pas besoin d’être corrigée, vous pouvez ignorer l’alerte. Ignorer les alertes que vous avez déjà évaluées facilite le tri des nouvelles alertes à mesure qu’elles apparaissent.

  1. Affichez les détails d’une alerte. Pour plus d’informations, consultez « Affichage des dépendances vulnérables » (ci-dessus).
  2. Sélectionnez la liste déroulante « Ignorer », puis cliquez sur une raison pour ignorer l’alerte. Les alertes ignorées non corrigées peuvent être rouvertes ultérieurement. 1. Si vous le souhaitez, ajoutez un commentaire de l’action Ignorer. Le commentaire de l’action Ignorer est ajouté à la chronologie des alertes et peut être utilisé comme justification lors de l’audit et de la création de rapports. Vous pouvez récupérer ou définir un commentaire à l’aide de l’API GraphQL. Le commentaire est contenu dans le champ dismissComment. Pour plus d’informations, consultez « Dependabot alerts » dans la documentation de l’API GraphQL. Capture d’écran montrant comment ignorer une alerte via la liste déroulante « Ignorer », avec l’option permettant d’ajouter un commentaire pour l’action Ignorer
  3. Cliquez sur Ignorer l’alerte.

Ignorer plusieurs alertes à la fois

  1. Afficher le Dependabot alerts ouvert. Pour plus d’informations, consultez « Affichage Dependabot alerts ».
  2. Si vous le souhaitez, filtrez la liste des alertes en sélectionnant un menu déroulant, puis cliquez sur le filtre que vous souhaitez appliquer. Vous pouvez également taper des filtres dans la barre de recherche.
  3. À gauche de chaque titre d’alerte, sélectionnez les alertes que vous souhaitez ignorer. Capture d’écran des alertes ouvertes avec des cases à cocher mises en évidence
  4. Si vous le souhaitez, en haut de la liste des alertes, sélectionnez toutes les alertes de la page. Capture d’écran de toutes les alertes ouvertes sélectionnées
  5. Sélectionnez la liste déroulante « Ignorer les alertes », puis cliquez sur une raison pour ignorer les alertes. Capture d’écran de la page d’ouverture des alertes avec la liste déroulante « Ignorer les alertes » mise en évidence

Affichage et mise à jour des alertes fermées

Vous pouvez afficher toutes les alertes ouvertes et rouvrir les alertes qui ont été précédemment ignorées. Les alertes fermées qui ont déjà été corrigées ne peuvent pas être rouvertes.

  1. Dans GitHub.com, accédez à la page principale du dépôt. 1. Sous le nom du dépôt, cliquez sur Sécurité. Onglet Sécurité 1. Dans la barre latérale, cliquez sur Dependabot alerts . Si cette option est absente, cela signifie que vous n'avez pas accès aux alertes de sécurité et que vous devez y avoir accès. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ». Dependabot alerts onglet

  2. Pour afficher simplement les alertes fermées, cliquez sur Fermé. Capture d’écran montrant l’option « Fermé »

  3. Cliquez sur l’alerte que vous voulez visualiser ou mettre à jour.  Capture d’écran montrant une alerte dependabot mise en surbrillance

  4. Éventuellement, si l’alerte a été ignorée et que vous souhaitez la rouvrir, cliquez sur Rouvrir. Les alertes qui ont déjà été corrigées ne peuvent pas être rouvertes.

    Capture d’écran montrant le bouton « Rouvrir »

Rouvrir plusieurs alertes à la fois

  1. Afficher le Dependabot alerts fermé. Pour plus d’informations, consultez « Affichage et mise à jour des alertes fermées » (ci-dessus).
  2. À gauche de chaque titre d’alerte, sélectionnez les alertes que vous souhaitez rouvrir. Capture d’écran des alertes fermées avec des cases à cocher mises en évidence
  3. Si vous le souhaitez, en haut de la liste des alertes, sélectionnez toutes les alertes fermées de la page. Capture d’écran des alertes fermées avec toutes les alertes sélectionnées
  4. Cliquez sur Rouvrir pour rouvrir les alertes. Les alertes qui ont déjà été corrigées ne peuvent pas être rouvertes. Capture d’écran des alertes fermées avec le bouton « Rouvrir » mis en évidence

Examen des journaux d’audit pour Dependabot alerts

Lorsqu’un membre de votre organisation ou d’entreprise effectue une action liée à Dependabot alerts, vous pouvez examiner les actions dans le journal d’audit. Pour plus d’informations sur l’accès au journal, consultez « Examen du journal d’audit pour votre organisation » et « Accès au journal d’audit pour votre entreprise. »

Capture d’écran du journal d’audit montrant les alertes Dependabot

Les événements de votre journal d’audit pour Dependabot alerts incluent des détails tels que qui a effectué l’action, ce qu’était l’action et quand l’action a été effectuée. L’événement inclut également un lien vers l’alerte elle-même. Lorsqu’un membre de votre organisation ignore une alerte, l’événement affiche le motif du masquage et le commentaire. Pour plus d’informations sur les actions Dependabot alerts, consultez les repository_vulnerability_alert catégories « Examen du journal d’audit pour votre organisation » et « Événements de journal d’audit pour votre entreprise ».