Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité

Vous pouvez créer vos propres Règles de triage automatique pour contrôler quelles alertes sont ignorées ou mises en veille, et les alertes pour lesquelles vous souhaitez que Dependabot ouvre des pull requests.

Qui peut utiliser cette fonctionnalité ?

  • Propriétaires de l’organisation
  • Gestionnaires de sécurité
  • Les utilisateurs disposant d’un accès administrateur (peuvent activer, désactiver et afficher Règles de triage automatique pour le référentiel, ainsi que créer des données Règles de triage automatique personnalisées)

Présélections GitHub sont disponibles pour tous les types de référentiels.

Règles de triage automatique personnalisées sont disponibles pour les types de référentiels suivants :

  • Des référentiels publics sur GitHub.com
  • Référentiels appartenant à l’organisation sur GitHub Team ou GitHub Enterprise Cloud avec GitHub Code Security activé

Dans cet article

À propos des Règles de triage automatique personnalisées

Vous pouvez créer vos propres Règles de triage automatique de Dependabot en fonction des métadonnées d’alerte. Vous pouvez choisir d’ignorer automatiquement les alertes indéfiniment ou de reporter les alertes jusqu’à ce qu’un correctif soit disponible, et vous pouvez préciser les Dependabot alerts pour lesquelles vous souhaitez que Dependabot ouvre des demandes de tirage. Les règles sont appliquées avant l’envoi des notifications d’alerte, de sorte que la création de règles personnalisées qui ignorent automatiquement les alertes à faible risque réduit le bruit des notifications ultérieures.

Étant donné que toutes les règles que vous créez s’appliquent aux alertes futures et actuelles, vous pouvez également utiliser Règles de triage automatique pour gérer vos alertes en bloc.

Les administrateurs de référentiel peuvent créer Règles de triage automatique personnalisées pour leurs référentiels. Pour les dépôts privés ou internes, cela nécessite GitHub Code Security.

Les propriétaires d’organisation et les gestionnaires de sécurité peuvent définir Règles de triage automatique personnalisées au niveau de l’organisation, puis choisir si une règle est appliquée ou activée dans tous les référentiels publics et privés de l’organisation.

  •      **Appliqué** : si une règle au niveau de l’organisation est « appliquée », les administrateurs de dépôt ne peuvent pas modifier, désactiver ou supprimer la règle.

  •      **Activé** : si une règle au niveau de l’organisation est « activée », les administrateurs de dépôt peuvent toujours désactiver la règle pour leur dépôt.

Remarque

Si une règle au niveau de l'organisation et une règle au niveau du référentiel spécifient des comportements contradictoires, l'action définie par la règle au niveau de l'organisation est prioritaire. Les règles de rejet agissent toujours avant les règles qui déclenchent des pull requests de Dependabot.

Vous pouvez créer des règles pour cibler des alertes à l’aide des métadonnées suivantes :

  • CVE ID
  • CWE
  • Etendue de la dépendance (devDependency ou runtime)
  • Écosystème
  • ID GHSA
  • Chemin d’accès au manifeste (pour les règles au niveau du repository uniquement)
  • Nom du package
  • Disponibilité des correctifs
  • Niveau de gravité
  • Score EPSS

Comprendre les interactions entre les Règles de triage automatique personnalisées et les Dependabot security updates

Remarque

Dependabot n’ouvrira des pull requests que pour résoudre Dependabot alerts, et non Dependabot malware alerts.

Vous pouvez utiliser Règles de triage automatique personnalisées pour adapter les Dependabot alerts pour lesquels Dependabot doit ouvrir des pull requests. Toutefois, pour qu'une règle « ouvrir une pull request » prenne effet, vous devez vous assurer que les Dependabot security updates sont désactivées pour le dépôt (ou les dépôts) auquel la règle doit s'appliquer.

Lorsque les Dependabot security updates sont activées pour un référentiel, Dependabot tente automatiquement d’ouvrir des pull requests pour résoudre chaque alerte Dependabot ouverte qui a une mise à jour corrective disponible. Si vous préférez personnaliser ce comportement à l’aide d’une règle, vous devez laisser les Dependabot security updates désactivés.

Pour plus d’informations sur l’activation ou la désactivation de Dependabot security updates pour un référentiel, consultez Configuration des mises à jour de sécurité Dependabot.

Ajout de Règles de triage automatique personnalisées à votre dépôt

Remarque

Pendant la préversion publique, vous pouvez créer jusqu'à 10 Règles de triage automatique personnalisées pour un référentiel.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre référentiel, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.

  4. Dans la section « Dependabot », à droite de « Règles Dependabot », cliquez sur .

  5. Cliquez sur Nouvelle règle.

  6. Sous « Nom e la règle », décrivez l’effet de cette règle.

  7. Sous « État », utilisez le menu déroulant pour déterminer si la règle doit être activée ou désactivée pour le référentiel.

  8. Sous « Alertes cibles », sélectionnez les métadonnées que vous souhaitez utiliser pour filtrer les alertes.

  9. Sous « Règles », sélectionnez l’action que vous souhaitez effectuer sur les alertes qui correspondent aux métadonnées :

    • Sélectionnez Ignorer les alertes pour ignorer automatiquement les alertes qui correspondent aux métadonnées. Vous pouvez choisir d’ignorer les alertes indéfiniment ou jusqu’à ce qu’une mise à jour corrective soit disponible.

    • Sélectionnez Ouvrir un pull request pour résoudre cette alerte si vous souhaitez que Dependabot suggère des modifications pour résoudre les alertes qui correspondent aux métadonnées ciblées. Notez que cette option n’est pas disponible si vous avez déjà sélectionné l’option pour ignorer les alertes indéfiniment, ou si Dependabot security updates sont activées dans les paramètres de votre référentiel.

      Remarque

      Dependabot n’ouvrira des pull requests que pour résoudre Dependabot alerts, et non Dependabot malware alerts.

  10. Cliquez sur Créer une règle.

Ajout de Règles de triage automatique personnalisées à votre organisation

Vous pouvez ajouter des Règles de triage automatique personnalisées pour tous les dépôts éligibles de votre organisation. Pour plus d’informations, consultez « Configuration des paramètres de sécurité globaux pour votre organisation ».

Modification ou suppression de Règles de triage automatique personnalisées pour votre dépôt

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre référentiel, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.

  4. Dans la section « Dependabot », à droite de « Règles Dependabot », cliquez sur .

  5. Sous "règles de dépôt", à droite de la règle que vous souhaitez modifier ou supprimer, cliquez sur .

  6. Pour modifier la règle, apportez des modifications aux champs applicables, puis cliquez sur Enregistrer la règle.

  7. Pour supprimer la règle, sous « Zone de danger », cliquez sur Supprimer la règle.

  8. Dans la boîte de dialogue « Voulez-vous vraiment supprimer cette règle ? », passez en revue les informations, puis cliquez sur Supprimer une règle.

Modification ou suppression de Règles de triage automatique personnalisées pour votre organisation

Vous pouvez modifier ou supprimer des Règles de triage automatique personnalisées pour l'ensemble des dépôts éligibles de votre organisation. Pour plus d’informations, consultez « Configuration des paramètres de sécurité globaux pour votre organisation ».