Configuration d’alertes Dependabot

Activez la génération d’Dependabot alerts quand une nouvelle dépendance vulnérable est trouvé dans l’un de vos dépôts.

Dans cet article

À propos des Dependabot alerts pour les dépendances vulnérables

Une vulnérabilité est un problème dans le code d’un projet qui pourrait être exploité pour altérer la confidentialité, l’intégrité ou la disponibilité du projet ou d’autres projets qui utilisent son code. Les vulnérabilités varient en fonction du type, de la gravité et de la méthode d’attaque.

Dependabot analyse le code lorsqu’un nouvel avis est ajouté à la GitHub Advisory Database ou que le graphique de dépendance d’un dépôt change. Lorsque des dépendances vulnérables sont détectés, des Dependabot alerts sont générées. Pour plus d’informations, consultez « À propos des alertes Dependabot ».

Si vous avez activé Dependabot security updates pour votrer référentiel, l’alerte peut également contenir un lien vers une demande de tirage (pull request) pour mettre à jour le fichier manifeste ou de verrouillage vers la version minimale qui résout la vulnérabilité. Pour plus d’informations, consultez « À propos des mises à jour de sécurité Dependabot ».

Avant de pouvoir activer ou désactiver les Dependabot alerts pour :

  • Votre compte personnel
  • Votre dépôt
  • Votre organisation
  • Votre entreprise

En outre, vous pouvez utiliser Règles de triage automatique de Dependabot pour gérer vos alertes à l’échelle, pour pouvoir ignorer automatiquement ou désactiver temporairement les alertes, et spécifier les alertes pour lesquelles vous souhaitez que Dependabot ouvre les demandes de tirage. Pour plus d’informations sur les différents types de règles de triage automatique et pour savoir si vos référentiels sont éligibles, consultez « À propos des règles de triage automatique de Dependabot ».

Gestion des Dependabot alerts pour votre compte personnel

Les Dependabot alerts pour vos dépôts peuvent être activées ou désactivées par le propriétaire de votre entreprise. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».

Gestion des Dependabot alerts pour votre dépôt

Vous pouvez gérer les Dependabot alerts pour votre référentiel public, privé ou interne.

Par défaut, nous informons les personnes disposant des autorisations d’accès en écriture, gestion ou administration dans les référentiels concernés des nouvelles Dependabot alerts. GitHub Enterprise Server ne révèle jamais publiquement les dépendances non sécurisées pour un dépôt. Vous pouvez également rendre les Dependabot alerts visibles pour d’autres personnes ou équipes travaillant sur des référentiels dont vous êtes propriétaire ou sur lesquels vous disposez d’autorisations d’administrateur.

Un propriétaire d’entreprise doit d’abord configurer Dependabot pour votre entreprise avant de pouvoir gérer les Dependabot alerts pour votre dépôt. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».

Activation ou désactivation des Dependabot alerts pour un dépôt

  1. Dans votre instance GitHub Enterprise Server, accédez à la page principale du dépôt.

  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  4. Sous « Sécurité et analyse du code », à droite des Dependabot alerts, cliquez sur Activer pour activer les alertes ou sur Désactiver pour les désactiver.

Gestion des Dependabot alerts pour votre organisation

Vous pouvez activer ou désactiver les Dependabot alerts pour tout ou partie des référentiels appartenant à votre organisation. Pour plus d’informations sur l’activation de fonctionnalités de sécurité dans une organisation, consultez « Démarrage rapide pour la sécurisation de votre organisation ».

Un propriétaire d’entreprise doit d’abord configurer Dependabot pour votre entreprise avant de pouvoir gérer les Dependabot alerts pour votre dépôt. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».

Activation ou désactivation des Dependabot alerts pour tous les dépôts existants

Vous pouvez utiliser la vue d’ensemble de la sécurité pour rechercher un ensemble de dépôts et activer ou désactiver les Dependabot alerts pour tout cet ensemble en même temps. Pour plus d’informations, consultez « Activation des fonctionnalités de sécurité pour plusieurs dépôts ».

Vous pouvez également utiliser la page des paramètres d’une organisation pour « Sécurité et analyse du code » pour activer et désactiver Dependabot alerts pour tous les référentiels existants dans une organisation.

  1. Dans l’angle supérieur droit de GitHub Enterprise Server, sélectionnez votre photo de profil, puis sur Vos organisations.

    Capture d’écran du menu déroulant sous l’image de profil de @octocat. « Vos organisations » est présenté en orange foncé.

  2. En regard de l’organisation, cliquez sur Paramètres.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  4. Sous « Sécurité et analyse du code », à droite de Dependabot alerts, cliquez sur Désactiver tout ou Activer tout.

  5. Si vous le souhaitez, pour activer Dependabot alerts par défaut pour de nouveaux référentiels dans votre organisation, dans la boîte de dialogue, sélectionnez « Activer par défaut pour de nouveaux référentiels ».

  6. Cliquez sur Désactiver les Dependabot alerts ou Activer les Dependabot alerts afin de désactiver ou d’activer les Dependabot alerts pour tous les dépôts dans votre organisation.

Gérer les Dependabot alerts pour votre entreprise

Vous pouvez activer ou désactiver les Dependabot alerts pour tous les dépôts publics actuels et futurs appartenant à des organisations dans votre entreprise. Vos modifications affectent tous les dépôts.

  1. Dans le coin supérieur droit de GitHub Enterprise Server, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.

    Capture d’écran du menu déroulant qui s’affiche lorsque vous cliquez sur la photo de profil sur GitHub Enterprise Server. L’option « Paramètres d’entreprise » est mise en évidence avec un contour orange foncé.

  2. Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.

  3. Dans la barre latérale gauche, cliquez sur Sécurité et analyse du code.

  4. Dans la section « Dependabot », à droite de Dependabot alerts, cliquez sur Désactiver tout ou Activer tout.

  5. Si vous le souhaitez, sélectionnez Activer automatiquement les nouveaux dépôts pour activer les Dependabot alerts par défaut pour les nouveaux dépôts de votre organisation.