À propos de la configuration des Dependabot security updates
Vous pouvez activer les Dependabot security updates pour un dépôt, ou pour tous les dépôts appartenant à votre compte personnel ou à l’organisation. Vous pouvez activer les Dependabot security updates pour n’importe quel dépôt qui utilise les Dependabot alerts et le graphe de dépendances. Pour plus d’informations, consultez « À propos des mises à jour de sécurité Dependabot ».
Vous pouvez désactiver Dependabot security updates pour un dépôt individuel ou pour tous les dépôts appartenant à votre compte personnel ou organisation.
Dependabot et toutes les fonctionnalités associées sont couverts par votre contrat de licence. Pour plus d’informations, consultez « GitHub Conditions d’utilisation de client entreprise ».
Dépôts pris en charge
GitHub active automatiquement les Dependabot security updates pour les dépôts nouvellement créés si votre compte personnel ou votre organisation a coché Activer automatiquement pour les nouveaux dépôts pour les Dependabot security updates. Pour plus d’informations, consultez « Gestion des Dependabot security updates pour vos dépôts ».
Si vous créez une duplication d’un dépôt où les mises à jour de sécurité sont activées, GitHub désactive automatiquement les Dependabot security updates pour la duplication. Vous pouvez ensuite décider d’activer les Dependabot security updates sur la duplication spécifique.
Si les mises à jour de sécurité ne sont pas activées pour votre dépôt et que vous ne savez pas pourquoi, essayez d’abord de les activer en utilisant les instructions fournies dans les sections procédurales ci-dessous. Si les mises à jour de sécurité ne fonctionnent toujours pas, vous pouvez contacter le support GitHub.
Gestion des Dependabot security updates pour vos dépôts
Vous pouvez également activer ou désactiver les Dependabot security updates pour tous les dépôts qualifiés appartenant à votre compte personnel ou votre organisation. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre compte personnel » ou « Gestion des paramètres de sécurité et d’analyse pour votre organisation ».
Vous pouvez aussi activer ou désactiver les Dependabot security updates pour un dépôt individuel.
Activation ou désactivation des Dependabot security updates pour un dépôt individuel
-
Dans GitHub.com, accédez à la page principale du dépôt. 1. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.
-
Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.
-
Sous « Sécurité et analyse du code », à droite de « Mises à jour de sécurité Dependabot », cliquez sur Activer pour activer la fonctionnalité ou sur Désactiver pour la désactiver. Pour les référentiels publics, le bouton est désactivé si la fonctionnalité est toujours activée.
Substitution du comportement par défaut avec un fichier de configuration
Vous pouvez remplacer le comportement par défaut de Dependabot security updates en ajoutant un fichier dependabot.yml à votre référentiel. Pour plus d’informations, consultez « Options de configuration pour le fichier dependabot.yml ».
Si vous avez uniquement besoin de mises à jour de sécurité et que vous souhaitez exclure les mises à jour de version, vous pouvez définir open-pull-requests-limit sur 0 pour empêcher les mises à jour de version pour une version donnée package-ecosystem. Pour plus d’informations, consultez « Options de configuration pour le fichier dependabot.yml ».
# Example configuration file that:
# - Ignores lodash dependency
# - Disables version-updates
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "daily"
ignore:
- dependency-name: "lodash"
# For Lodash, ignore all updates
# Disable version updates for npm dependencies
open-pull-requests-limit: 0
Pour plus d’informations sur les options de configuration disponibles pour les mises à jour de sécurité, consultez le tableau dans « Options de configuration pour le fichier dependabot.yml ».