Skip to main content

Affichage et mise à jour des alertes Dependabot

Si GitHub Enterprise Server découvre des dépendances non sécurisées dans votre projet, vous pouvez afficher des détails sur l’onglet Alertes Dependabot de votre référentiel. Ensuite, vous pouvez mettre à jour votre projet pour résoudre ou ignorer l’alerte.

Qui peut utiliser cette fonctionnalité ?

  • Administrateurs du référentiel, propriétaires de l'organisation et personnes ayant un accès en écriture ou en maintenance
  • Utilisateurs et équipes disposant d’un accès explicite. Voir « Autoriser l'accès à l'alerte de sécurité ».

Remarque : Votre administrateur de site doit configurer les Dependabot updates pour votre instance GitHub Enterprise Server afin que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».

Vous ne pourrez peut-être pas activer ou désactiver les Dependabot updates si un propriétaire d’entreprise a défini une stratégie au niveau de l’entreprise. Pour plus d’informations, consultez « Application de stratégies de sécurité et d’analyse du code pour votre entreprise ».

L’onglet Dependabot alerts de votre référentiel liste toutes les Dependabot alerts ouvertes et fermées et les Dependabot security updates correspondantes. Vous pouvez filtrer les alertes par package, écosystème ou manifeste. Vous pouvez trier la liste des alertes. Cliquez dans des alertes spécifiques pour obtenir plus de détails. Vous pouvez également ignorer ou rouvrir des alertes, soit une par une, soit en sélectionnant plusieurs alertes à la fois. Pour plus d’informations, consultez « À propos des alertes Dependabot ».

Vous pouvez activer les correctifs de sécurité automatiques pour n’importe quel référentiel qui utilise les Dependabot alerts et le graphe de dépendances. Pour plus d’informations, consultez « À propos des mises à jour de sécurité Dependabot ».

À propos des mises à jour des dépendances vulnérables dans votre dépôt

GitHub Enterprise Server génère Dependabot alerts lorsque nous détectons que la branche par défaut de votre codebase utilise des dépendances présentant des risques de sécurité connus. Pour les dépôts où les Dependabot security updates sont activées, quand GitHub Enterprise Server détecte une dépendance vulnérable dans la branche par défaut, Dependabot crée une demande de tirage (pull request) pour la corriger. La demande de tirage met à niveau la dépendance vers la version sécurisée minimale nécessaire pour éviter la vulnérabilité.

Dependabot ne génère pas de Dependabot alerts pour les programmes malveillants. Pour plus d’informations, consultez « À propos de la base de données GitHub Advisory ».

Chaque alerte Dependabot a un identificateur numérique unique et l’onglet the Dependabot alerts liste une alerte pour chaque vulnérabilité détectée. Les Dependabot alerts héritées ont regroupé les vulnérabilités par dépendance et ont généré une alerte unique par dépendance. Si vous accédez à une alerte Dependabot, vous êtes redirigé vers un onglet Dependabot alerts filtré pour ce package.

Vous pouvez filtrer et trier des Dependabot alerts en utilisant divers filtres et options de tri disponibles dans l’interface utilisateur. Pour plus d’informations, consultez « Hiérarchisation des Dependabot alerts » ci-dessous.

Vous pouvez également auditer les actions effectuées en réponse aux alertes Dependabot. Pour plus d’informations, consultez « Audit des alertes de sécurité ».

Hiérarchisation des Dependabot alerts

GitHub vous permet d’établir des priorités pour corriger les Dependabot alerts. Par défaut, les Dependabot alerts sont triées par ordre d’importance. L’ordre de tri « Le plus important » vous permet d’établir des priorités dans les Dependabot alerts sur lesquelles vous concentrer en premier. Les alertes sont classées en fonction de leur impact potentiel, de leur actionnabilité et de leur pertinence. Notre calcul de priorisation est en constante amélioration et inclut des facteurs tels que le score CVSS, l’étendue des dépendances et si les appels de fonction vulnérables sont trouvés pour l’alerte.

Vous pouvez trier et filtrer les Dependabot alerts en tapant des filtres sous forme de paires key:value dans la barre de recherche.

OptionDescriptionExemple
ecosystemAffiche des alertes pour l’écosystème sélectionnéUtiliser ecosystem:npm pour afficher des Dependabot alerts pour npm
hasAffiche les alertes répondant aux critères de filtre sélectionnésUtiliser has:patch pour afficher les alertes liées aux avis qui comportent un correctif
isAffiche les alertes en fonction de leur étatUtiliser is:open pour afficher les alertes ouvertes
manifestAffiche les alertes du manifeste sélectionnéUtiliser manifest:webwolf/pom.xml pour afficher les alertes sur le fichier pom.xml de l’application webwolf
packageAffiche les alertes du package sélectionnéUtiliser package:django pour afficher les alertes pour django
resolutionAffiche les alertes de l’état de résolution sélectionnéUtiliser resolution:no-bandwidth pour afficher les alertes précédemment parquées en raison d’un manque de ressources ou d’un délai de correction
repoAffiche les alertes en fonction du dépôt auquel elles sont liées
Notez que ce filtre est disponible uniquement pour la vue d’ensemble de la sécurité. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ».
Utiliser repo:octocat-repo pour afficher les alertes dans le dépôt appelé octocat-repo
scopeAffiche des alertes en fonction de l’étendue de la dépendance à laquelle elles sont liéesUtiliser scope:development pour afficher les alertes des dépendances utilisées uniquement pendant le développement
severityAffiche les alertes en fonction de leur niveau de gravitéUtiliser severity:high pour afficher les alertes dont le niveau de gravité est élevé
sortAffiche les alertes en fonction de l’ordre de tri sélectionnéL’option de tri par défaut des alertes est sort:most-important, qui permet de les classer par importance
Utiliser sort:newest pour afficher les dernières alertes signalées par Dependabot

En plus des filtres disponibles via la barre de recherche, vous pouvez trier et filtrer les Dependabot alerts à l’aide des menus déroulants situés en haut de la liste d’alertes. Pour filtrer par étiquette, vous pouvez également cliquer sur une étiquette affectée à une alerte pour appliquer automatiquement ce filtre à la liste des alertes.

La barre de recherche permet également la recherche en texte intégral d’alertes et des avis de sécurité associés. Vous pouvez rechercher une partie d’un nom ou d’une description d’avis de sécurité pour retourner les alertes de votre dépôt qui se rapportent à cet avis de sécurité. Par exemple, la recherche de yaml.load() API could execute arbitrary code retourne les Dependabot alerts liées à « PyYAML désérialise de manière non sécurisée les chaînes YAML entraînant une exécution arbitraire du code », car la chaîne de recherche apparaît dans la description de l’avis.

Capture d’écran des menus de filtrage et de tri sous l’onglet Dependabot alerts.

Écosystèmes et manifestes pris en charge pour l’étendue des dépendances

Le tableau ci-dessous résume si l’étendue des dépendances est prise en charge pour divers écosystèmes et manifestes, c’est-à-dire si Dependabot peut identifier si une dépendance est utilisée pour le développement ou la production.

LangageÉcosystèmeFichier manifesteÉtendue de dépendance prise en charge
Dartpubpubspec.yaml
Dartpubpubspec.lock
GoModules Gogo.modNon, utilise runtime par défaut
JavaMavenpom.xml test mappe au développement, sinon l’étendue par défaut est runtime
JavaScriptnpmpackage.json
JavaScriptnpmpackage-lock.json
JavaScriptnpmpnpm-lock.yaml
JavaScriptyarn v1yarn.lockNon, utilise runtime par défaut
PHPComposercomposer.json
PHPComposercomposer.lock
PythonPoetrypoetry.lock
PythonPoetrypyproject.toml
Pythonpiprequirements.txt L’étendue est le développement si le nom de fichier contient test ou dev, sinon il est runtime
Pythonpippipfile.lock
Pythonpippipfile
RubyRubyGemsGemfile
RubyRubyGemsGemfile.lockNon, utilise runtime par défaut
RustCargoCargo.toml
RustCargoCargo.lockNon, utilise runtime par défaut
YAMLActions GitHub-Non, utilise runtime par défaut
.NET (C#, F#, VB, etc.)NuGet.csproj / .vbproj .vcxproj / .fsprojNon, utilise runtime par défaut
.NETNuGetpackages.configNon, utilise runtime par défaut
.NETNuGet.nuspec Lorsque la balise != runtime

Les alertes pour les packages répertoriés comme dépendances de développement sont marquées avec l’étiquette Development page Dependabot alerts et sont également disponibles pour le filtrage via le filtre scope.

Capture d’écran montrant l’intitulé « Development » affecté à une alerte dans la liste des alertes. L’intitulé est mis en évidence avec un encadré orange foncé.

La page Détails de l’alerte des alertes sur les packages limités au développement affiche une section « Étiquettes » contenant un intitulé Development.

Capture d’écran montrant la section « Étiquettes » dans la page des détails de l’alerte. L’intitulé est mis en évidence avec un encadré orange foncé.

Affichage Dependabot alerts

Vous pouvez consulter toutes les Dependabot alerts ouvertes et fermées et les Dependabot security updates correspondantes dans l’onglet Dependabot alerts de votre référentiel. Vous pouvez trier et filtrer Dependabot alerts en sélectionnant un filtre dans le menu déroulant.

Pour afficher des résumés d'alertes pour tous ou un sous-ensemble de dépôts appartenant à votre organisation, utilisez la vue d'ensemble de la sécurité. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ».

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Sécurité » est mis en évidence avec un encadré orange foncé.

  3. Dans la barre latérale « Alertes de vulnérabilité » de la vue d’ensemble de la sécurité, cliquez sur Dependabot . Si cette option est absente, cela signifie que vous n'avez pas accès aux alertes de sécurité et que vous devez y avoir accès. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ».

     Capture d’écran de la vue d’ensemble de la sécurité, avec l’onglet « Dependabot » mis en évidence avec un contour orange foncé.

  4. Pour filtrer les alertes, vous pouvez sélectionner un filtre dans un menu déroulant, puis cliquer sur le filtre que vous souhaitez appliquer. Vous pouvez également taper des filtres dans la barre de recherche. Pour filtrer par étiquette, vous pouvez également cliquer sur une étiquette affectée à une alerte pour appliquer automatiquement ce filtre à la liste des alertes. Pour plus d’informations sur le filtrage et le tri des alertes, consultez « Hiérarchisation des Dependabot alerts ».

    Capture d’écran des menus de filtrage et de tri sous l’onglet Dependabot alerts.

  5. Cliquez sur l’alerte que vous voulez visualiser.

  6. Si vous le souhaitez, pour suggérer une amélioration de l’avis de sécurité associé, sur le côté droit de la page des détails de l’alerte, cliquez sur Suggérer des améliorations pour cet avis sur la GitHub Advisory Database . Pour plus d’informations, consultez « Modification des avis de sécurité dans la base de données d’avis de GitHub ».

    Capture d’écran de la barre latérale droite d’une alerte Dependabot. Un lien intitulé « Suggérer des améliorations pour cet avis sur les GitHub Advisory Database » est mis en évidence avec un contour orange.

Examen et résolution des alertes

Il est important de s’assurer que toutes vos dépendances sont exemptes de toute faille de sécurité. Quand Dependabot détecte des vulnérabilités dans vos dépendances, vous devez évaluer le niveau d’exposition de votre projet et déterminer les étapes de correction à suivre pour sécuriser votre application.

Si une version corrigée de la dépendance est disponible, vous pouvez générer une demande de tirage (pull request) Dependabot pour mettre à jour cette dépendance directement à partir d’une alerte Dependabot. Si vous avez les Dependabot security updates activées, la demande de tirage (pull request) peut être liée dans l’alerte Dependabot.

Dans les cas où une version corrigée n’est pas disponible ou si vous ne pouvez pas effectuer de mise à jour vers la version sécurisée, Dependabot partage des informations supplémentaires pour vous aider à déterminer les étapes suivantes. Quand vous cliquez pour afficher une alerte Dependabot, vous pouvez voir les détails complets de l’avis de sécurité pour la dépendance, y compris les fonctions affectées. Vous pouvez ensuite vérifier si votre code appelle les fonctions impactées. Ces informations peuvent vous aider à mieux évaluer votre niveau de risque et à déterminer les solutions de contournement ou si vous êtes en mesure d’accepter le risque représenté par le conseil de sécurité.

Correction des dépendances vulnérables

  1. Affichez les détails d’une alerte. Pour plus d’informations, consultez « Affichage Dependabot alerts » (ci-dessus).

  2. Si les Dependabot security updates sont activées, il peut y avoir un lien vers une demande de tirage qui corrigera la dépendance. Vous pouvez également cliquer sur Créer la mise à jour de sécurité Dependabot en haut de la page des détails de l’alerte pour créer une demande de tirage.

    Capture d’écran d’une alerte Dependabot avec le bouton « Créer une mise à jour de sécurité Dependabot » mis en évidence avec un encadré orange foncé.

  3. Éventuellement, si vous n’utilisez pas les Dependabot security updates, vous pouvez utiliser les informations de la page pour décider vers quelle version de la dépendance mettre à niveau et créer une demande de tirage pour mettre à jour la dépendance vers une version sécurisée.

  4. Quand vous êtes prêt à mettre à jour votre dépendance et à résoudre la vulnérabilité, fusionnez la demande de tirage.

    Chaque demande de tirage déclenchée par Dependabot inclut des informations sur les commandes que vous pouvez utiliser pour contrôler Dependabot. Pour plus d’informations, consultez « Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances ».

Ignorer les Dependabot alerts

Tip

Vous ne pouvez ignorer que les alertes ouvertes.

Si vous planifiez un travail de grande ampleur pour mettre à niveau une dépendance ou si vous décidez qu’une alerte n’a pas besoin d’être corrigée, vous pouvez ignorer l’alerte. Ignorer les alertes que vous avez déjà évaluées facilite le tri des nouvelles alertes à mesure qu’elles apparaissent.

  1. Affichez les détails d’une alerte. Pour plus d’informations, consultez « Affichage des dépendances vulnérables » (ci-dessus).

  2. Sélectionnez la liste déroulante « Ignorer », puis cliquez sur une raison pour ignorer les alertes. Les alertes ignorées non corrigées peuvent être rouvertes ultérieurement.

  3. Si vous le souhaitez, ajoutez un commentaire de l’action Ignorer. Le commentaire de l’action Ignorer est ajouté à la chronologie des alertes et peut être utilisé comme justification lors de l’audit et de la création de rapports. Vous pouvez récupérer ou définir un commentaire à l’aide de l’API GraphQL. Le commentaire est contenu dans le champ dismissComment. Pour plus d’informations, consultez « Objets » dans la documentation de l’API GraphQL.

    Capture d’écran de la page d’une alerte Dependabot, avec la liste déroulante « Ignorer » et l’option permettant d’ajouter un commentaire mises en évidence avec un encadré orange foncé.

  4. Cliquez sur Ignorer l’alerte.

Ignorer plusieurs alertes à la fois

  1. Afficher le Dependabot alerts ouvert. Pour plus d’informations, consultez « Affichage et mise à jour des alertes Dependabot ».
  2. Si vous le souhaitez, filtrez la liste des alertes en sélectionnant un menu déroulant, puis cliquez sur le filtre que vous souhaitez appliquer. Vous pouvez également taper des filtres dans la barre de recherche.
  3. À gauche de chaque titre d’alerte, sélectionnez les alertes que vous souhaitez ignorer.
    Capture d’écran de la vue Dependabot alerts. Deux alertes sont sélectionnées et ces cases à cocher sont mises en évidence avec un encadré orange.
  4. Si vous le souhaitez, en haut de la liste des alertes, sélectionnez toutes les alertes de la page.
    Capture d’écran de la section d’en-tête de la vue Dependabot alerts. La case à cocher « Tout sélectionner » est mise en évidence avec un encadré orange foncé.
  5. Sélectionnez la liste déroulante « Ignorer les alertes », puis cliquez sur une raison pour ignorer les alertes.
    Capture d’écran d’une liste d’alertes. Sous le bouton « Ignorer les alertes », une liste déroulante intitulée « Sélectionner une raison d’ignorer » est développée. La liste déroulante contient des boutons radio pour différentes options.

Affichage et mise à jour des alertes fermées

Vous pouvez afficher toutes les alertes ouvertes et rouvrir les alertes qui ont été précédemment ignorées. Les alertes fermées qui ont déjà été corrigées ne peuvent pas être rouvertes.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Sécurité » est mis en évidence avec un encadré orange foncé.

  3. Dans la barre latérale « Alertes de vulnérabilité » de la vue d’ensemble de la sécurité, cliquez sur Dependabot . Si cette option est absente, cela signifie que vous n'avez pas accès aux alertes de sécurité et que vous devez y avoir accès. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ».

     Capture d’écran de la vue d’ensemble de la sécurité, avec l’onglet « Dependabot » mis en évidence avec un contour orange foncé.

  4. Pour afficher simplement les alertes fermées, cliquez sur Fermé.

    Capture d’écran montrant la liste des Dependabot alerts avec l’onglet « Fermé » mis en évidence avec un encadré orange foncé.

  5. Cliquez sur l’alerte que vous voulez visualiser ou mettre à jour.

  6. Éventuellement, si l’alerte a été ignorée et que vous souhaitez la rouvrir, cliquez sur Rouvrir. Les alertes qui ont déjà été corrigées ne peuvent pas être rouvertes.

    Capture d’écran montrant une alerte Dependabot fermée. Un bouton intitulé « Rouvrir » est mis en évidence avec un contour orange foncé.

Rouvrir plusieurs alertes à la fois

  1. Afficher le Dependabot alerts fermé. Pour plus d’informations, consultez « Affichage et mise à jour des alertes Dependabot » (ci-dessus).
  2. À gauche de chaque titre d’alerte, sélectionnez les alertes que vous souhaitez rouvrir en cliquant sur la case à cocher adjacente à chaque alerte.
  3. Si vous le souhaitez, en haut de la liste des alertes, sélectionnez toutes les alertes fermées de la page.
    Capture d’écran des alertes sous l’onglet « Fermé ». La case à cocher « Tout sélectionner » est mise en évidence avec un encadré orange foncé.
  4. Cliquez sur Rouvrir pour rouvrir les alertes. Les alertes qui ont déjà été corrigées ne peuvent pas être rouvertes.

Examen des journaux d’audit pour Dependabot alerts

Lorsqu’un membre de votre organisation ou d’entreprise effectue une action liée à Dependabot alerts, vous pouvez examiner les actions dans le journal d’audit. Pour plus d’informations sur l’accès au journal, consultez « Examen du journal d’audit de votre organisation » et « Accès au journal d’audit de votre entreprise ».

Capture d’écran du journal d’audit montrant les alertes Dependabot.

Les événements de votre journal d’audit pour Dependabot alerts incluent des détails tels que qui a effectué l’action, ce qu’était l’action et quand l’action a été effectuée. L’événement inclut également un lien vers l’alerte elle-même. Lorsqu’un membre de votre organisation ignore une alerte, l’événement affiche le motif du rejet et le commentaire. Pour plus d’informations sur les actions Dependabot alerts, consultez la catégorie repository_vulnerability_alert « Événements du journal d’audit pour votre organisation » et « Événements du journal d’audit pour votre entreprise ».