Skip to main content

Utilisation de règles prédéfinies GitHub pour classer les alertes Dependabot par ordre de priorité

Vous pouvez utiliser des Présélections GitHub, qui sont des règles organisées par GitHub, pour ignorer automatiquement les alertes de développement à faible impact pour les dépendances npm.

Qui peut utiliser cette fonctionnalité ?

  • Propriétaires de l’organisation
  • Gestionnaires de sécurité
  • Les utilisateurs disposant d’un accès administrateur (peuvent activer, désactiver et afficher Présélections GitHub pour le référentiel)

À propos de Présélections GitHub

La règle Dismiss low impact issues for development-scoped dependencies est un préréglage GitHub qui ignore automatiquement certains types de vulnérabilités trouvées dans les dépendances npm utilisées dans le développement. Ces alertes couvrent les cas qui sont considérés comme de fausses alarmes par la plupart des développeurs du fait que les vulnérabilités associées :

  • Sont peu susceptibles d’être exploitables dans un environnement de développement (hors production ou de runtime).
  • Peuvent être liées à des problèmes de gestion des ressources, de programmation et de logique, et de divulgation d’informations.
  • Au pire, ont des effets limités comme des builds lentes ou des tests longs.
  • Ne sont pas révélatrices de problèmes en production.

Note

La suppression automatique des alertes de développement à faible impact n'est actuellement prise en charge que pour npm.

La règle Dismiss low impact issues for development-scoped dependencies inclut les vulnérabilités liées à la gestion des ressources, à la programmation et à la logique, ainsi qu’à la divulgation d’informations. Pour plus d’informations, consultez « Listes de vulnérabilités publiquement connues (CWE) utilisées par la règleDismiss low impact issues for development-scoped dependencies ».

Le filtrage de ces alertes à faible impact vous permet de vous concentrer sur les alertes qui vous intéressent, sans risquer de manquer des alertes de développement potentiellement à haut risque.

La règle Dismiss low impact issues for development-scoped dependencies est activée par défaut pour les dépôts publics et désactivée pour les dépôts privés. Les administrateurs de dépôts privés peuvent choisir d’activer la règle pour leur dépôt.

Activation de la règle Dismiss low impact issues for development-scoped dependencies pour votre dépôt privé

Vous devez d’abord activer les Dependabot alerts pour le dépôt. Pour plus d’informations, consultez « Configuration d’alertes Dependabot ». Les

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  4. Sous « Dependabot alerts », cliquez sur en regard des règles « Dependabot ».

    Capture d’écran de la page « Sécurité et analyse du code » pour un dépôt. L’icône de l’engrenage est mise en évidence avec un encadré orange.

  5. Sous Présélection GitHub, à droite de l’option Ignorer les problèmes à faible impact pour les dépendances délimitées au développement, cliquez sur .

  6. Sous État, sélectionnez le menu déroulant, puis cliquez sur Activé.

  7. Cliquez sur Enregistrer la règle.

Listes de vulnérabilités publiquement connues (CWE) utilisées par la règle Dismiss low impact issues for development-scoped dependencies

En plus des métadonnées d’alerte ecosystem:npm et scope:development, nous utilisons les listes de vulnérabilités publiquement connues (CWE) suivantes, organisées par GitHub, pour filtrer les alertes à faible impact selon la règle Dismiss low impact issues for development-scoped dependencies. Nous enrichissons régulièrement cette liste et les modèles de vulnérabilités couverts par les règles intégrées.

Problèmes de gestion des ressources

  • CWE-400 Uncontrolled Resource Consumption (Consommation non contrôlée des ressources)
  • CWE-770 Allocation of Resources Without Limits or Throttling (Allocation de ressources sans limite ni limitation)
  • CWE-409 Improper Handling of Highly Compressed Data (Data Amplification) [Traitement incorrect des données hautement compressées (Amplification des données)]
  • CWE-908 Use of Uninitialized Resource (Utilisation de ressource non initialisée)
  • CWE-1333 Inefficient Regular Expression Complexity (Complexité d’expression régulière inefficace)
  • CWE-835 Loop with Unreachable Exit Condition ('Infinite Loop') [Boucle avec condition de sortie inaccessible (« Boucle infinie »)]
  • CWE-674 Uncontrolled Recursion (Récursion non contrôlée)
  • CWE-1119 Excessive Use of Unconditional Branching (Utilisation excessive de branches sans condition)

Erreurs de logique et de programmation

  • CWE-185 Incorrect Regular Expression (Expression régulière incorrecte)
  • CWE-754 Improper Check for Unusual or Exceptional Conditions (Vérification incorrecte de conditions inhabituelles ou exceptionnelles)
  • CWE-755 Improper Handling of Exceptional Conditions (Traitement incorrect de conditions exceptionnelles)
  • CWE-248 Uncaught Exception (Exception non interceptée)
  • CWE-252 Unchecked Return Value (Valeur retournée non vérifiée)
  • CWE-391 Unchecked Error Condition (Condition d’erreur non vérifiée)
  • CWE-696 Incorrect Behavior Order (Ordre de comportement incorrect)
  • CWE-1254 Incorrect Comparison Logic Granularity (Granularité de logique de comparaison incorrecte)
  • CWE-665 Improper Initialization (Initialisation incorrecte)
  • CWE-703 Improper Check or Handling of Exceptional Conditions (Vérification ou traitement incorrects de conditions exceptionnelles)
  • CWE-178 Improper Handling of Case Sensitivity (Traitement incorrect du respect de la casse)

Problèmes de divulgation d’informations

  • CWE-544 Missing Standardized Error Handling Mechanism (Absence de mécanisme standardisé de traitement des erreurs)
  • CWE-377 Insecure Temporary File (Fichier temporaire non sécurisé)
  • CWE-451 User Interface (UI) Misrepresentation of Critical Information (Présentation erronée d’informations critiques dans l’interface utilisateur)
  • CWE-668 Exposure of Resource to Wrong Sphere (Exposition de ressource à une sphère incorrecte)