Skip to main content

À propos des règles de triage automatique de Dependabot

Les Règles de triage automatique de Dependabot sont un outil puissant pour vous aider à mieux gérer vos alertes de sécurité à grande échelle. Les règles par défaut de Dependabot sont organisées pour vous et filtrent une quantité importante de faux positifs. Les Règles de triage automatique personnalisées permettent de contrôler les alertes ignorées et désactivées temporairement, ou de déclencher un correctif de sécurité Dependabot pour résoudre l’alerte.

Qui peut utiliser cette fonctionnalité ?

People with write permissions can view Règles de triage automatique de Dependabot for the repository. People with admin permissions to a repository can enable or disable Règles de triage automatique for the repository, as well as create Règles de triage automatique personnalisées. Additionally, organization owners and security managers can set Règles de triage automatique at the organization-level and optionally choose to enforce rules for repositories in the organization.

Remarque : Règles de triage automatique de Dependabot sont actuellement en version bêta et sujets à mes modifications.

À propos des Règles de triage automatique de Dependabot

Les Règles de triage automatique de Dependabot vous permettent d’indiquer à Dependabot de trier automatiquement les Dependabot alerts. Vous pouvez utiliser des Règles de triage automatique pour ignorer ou désactiver temporairement certaines alertes automatiquement, ou spécifier les alertes pour lesquelles vous souhaitez que Dependabot ouvre des demandes de tirage.

Il existe deux types de Règles de triage automatique de Dependabot :

  • Règles par défaut choisies par GitHub
  • Règles de triage automatique personnalisées

La règle par défaut organisée par GitHub, Dismiss low impact issues for development-scoped dependencies, ignore automatiquement certains types de vulnérabilités trouvées dans les dépendances npm utilisées dans le développement. La règle a été organisée de manière à réduire les faux positifs et la fatigue des alertes. La règle est activée par défaut pour les référentiels publics et peut être activée pour les dépôts privés. Toutefois, vous ne pouvez pas modifier les Règles par défaut choisies par GitHub. Pour plus d’informations, consultez « Using GitHub preset rules to prioritize Dependabot alerts ».

Grâce aux Règles de triage automatique personnalisées, vous pouvez créer vos propres règles pour ignorer ou rouvrir automatiquement des alertes en fonction de métadonnées ciblées, telles que la gravité, le nom du package, CWE, etc. Vous pouvez également spécifier les alertes pour lesquelles vous souhaitez que Dependabot ouvre des demandes de tirage. Pour plus d’informations, consultez « Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité ».

Si vous choisissez de masquer automatiquement les alertes, sachez que vous pouvez toujours rouvrir des alertes masquées automatiquement et les filtrer pour afficher celles qui ont été masquées automatiquement. Pour plus d’informations, consultez « Gestion des alertes qui ont été ignorées automatiquement par une alerte de triage automatique Dependabot ».

Par ailleurs, les alertes masquées automatiquement restent toujours disponibles pour la création de rapports et la révision, et peuvent être rouvertes automatiquement en cas de modification des métadonnées d’alerte, par exemple :

  • Si vous modifiez l’étendue d’une dépendance de développement à production.
  • Si GitHub modifie certaines métadonnées pour l’avis associé.

Les alertes masquées automatiquement sont définies par le motif de fermeture resolution:auto-dismiss. L’activité de masquage automatique est incluse dans les webhooks d’alerte, dans les API REST et GraphQL, ainsi que dans le journal d’audit. Pour plus d’informations, consultez « Dependabot alerts » dans la documentation de l’API REST et la section « repository_vulnerability_alert » dans « Examen du journal d'audit de votre organisation ».

Pour aller plus loin