Configuration des mises à jour de sécurité Dependabot

Obtenir des demandes de tirage pour mettre à jour vos dépendances vulnérables

2 sur 6 dans le parcours d’apprentissage
Suivant:Configuration de notifications pour les alertes Dependabot

Dans cet article

Vous pouvez utiliser Dependabot security updates ou des demandes de tirage manuel pour mettre facilement à jour les dépendances vulnérables.

À propos de la configuration des Dependabot security updates

Vous pouvez activer les Dependabot security updates pour n’importe quel dépôt qui utilise les Dependabot alerts et le graphe de dépendances. Pour plus d’informations, consultez « À propos des mises à jour de sécurité Dependabot ».

Vous pouvez activer ou désactiver Dependabot security updates pour un référentiel individuel, pour une sélection de référentiels dans une organisation, ou pour tous les référentiels appartenant à votre compte personnel ou organisation. Pour plus d’informations sur l’activation de fonctionnalités de sécurité dans une organisation, consultez « Sécurisation de votre organisation ».

Remarque : Lorsque les Dependabot security updates sont activées pour un référentiel, Dependabot tente automatiquement d’ouvrir des demandes de tirage pour résoudre chaque alerte Dependabot ouverte qui a une mise à jour corrective disponible. Si vous préférez personnaliser les alertes pour lesquelles Dependabot ouvre les demandes de tirage, vous devez laisser les Dependabot security updates désactivées et créer une règle d’alerte. Pour plus d’informations, consultez « Customizing auto-triage rules to prioritize Dependabot alerts ».

Dependabot et toutes les fonctionnalités associées sont couverts par votre contrat de licence. Pour plus d’informations, consultez « GitHub Conditions d’utilisation de client entreprise ».

Dépôts pris en charge

GitHub active automatiquement les Dependabot security updates pour les dépôts nouvellement créés si votre compte personnel ou votre organisation a coché Activer automatiquement pour les nouveaux dépôts pour les Dependabot security updates. Pour plus d’informations, consultez « Gestion des Dependabot security updates pour vos dépôts ».

Si vous créez une duplication d’un dépôt où les mises à jour de sécurité sont activées, GitHub désactive automatiquement les Dependabot security updates pour la duplication. Vous pouvez ensuite décider d’activer les Dependabot security updates sur la duplication spécifique.

Si les mises à jour de sécurité ne sont pas activées pour votre dépôt et que vous ne savez pas pourquoi, essayez d’abord de les activer en utilisant les instructions fournies dans les sections procédurales ci-dessous. Si les mises à jour de sécurité ne fonctionnent toujours pas, vous pouvez contacter .

Gestion des Dependabot security updates pour vos dépôts

Vous pouvez également activer ou désactiver les Dependabot security updates pour tous les dépôts qualifiés appartenant à votre compte personnel ou votre organisation. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre compte personnel » ou « Gestion des paramètres de sécurité et d’analyse pour votre organisation ».

Vous pouvez aussi activer ou désactiver les Dependabot security updates pour un dépôt individuel.

Activation ou désactivation des Dependabot security updates pour un dépôt individuel

  1. Dans GitHub.com, accédez à la page principale du dépôt.

  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  4. Sous « Sécurité et analyse du code », à droite de « Mises à jour de sécurité Dependabot », cliquez sur Activer pour activer la fonctionnalité ou sur Désactiver pour la désactiver. Pour les référentiels publics, le bouton est désactivé si la fonctionnalité est toujours activée.

Substitution du comportement par défaut avec un fichier de configuration

Vous pouvez remplacer le comportement par défaut de Dependabot security updates en ajoutant un fichier dependabot.yml à votre référentiel. Pour plus d’informations, consultez « Options de configuration pour le fichier dependabot.yml ».

Si vous avez uniquement besoin de mises à jour de sécurité et que vous souhaitez exclure les mises à jour de version, vous pouvez définir open-pull-requests-limit sur 0 pour empêcher les mises à jour de version pour une version donnée package-ecosystem. Pour plus d’informations, consultez « Options de configuration pour le fichier dependabot.yml ».

# Example configuration file that:
#  - Has a private registry
#  - Ignores lodash dependency
#  - Disables version-updates

version: 2
registries:
  example:
    type: npm-registry
    url: https://example.com
    token: ${{secrets.NPM_TOKEN}}
updates:
  - package-ecosystem: "npm"
    directory: "/src/npm-project"
    schedule:
      interval: "daily"
    ignore:
      - dependency-name: "lodash"
        # For Lodash, ignore all updates
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0
    registries:
      - example

Remarque : Pour que Dependabot utilise cette configuration pour les publications de sécurité, le directorydoit être le chemin d'accès aux fichiers manifestes, et vous ne devez pas spécifier un de target-branch.

Pour plus d’informations sur les options de configuration disponibles pour les mises à jour de sécurité, consultez le tableau dans « Options de configuration pour le fichier dependabot.yml ».

Pour aller plus loin

PrécédentÀ propos des mises à jour de sécurité DependabotSuivantConfiguration de notifications pour les alertes Dependabot