Skip to main content

Configuration des mises à jour de sécurité Dependabot

Vous pouvez utiliser Dependabot security updates ou des demandes de tirage manuel pour mettre facilement à jour les dépendances vulnérables.

Qui peut utiliser cette fonctionnalité ?

Users with write access

Note

Votre administrateur de site doit configurer les Dependabot updates pour votre instance GitHub Enterprise Server afin que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».

Il se peut que vous ne puissiez pas activer ou désactiver Dependabot updates si le propriétaire de l'entreprise a défini une politique au niveau de l'entreprise. Pour plus d’informations, consultez « Application de stratégies de sécurité et d’analyse du code pour votre entreprise ».

À propos de la configuration des Dependabot security updates

Vous pouvez activer les Dependabot security updates pour n’importe quel dépôt qui utilise les Dependabot alerts et le graphe de dépendances. Pour plus d’informations, consultez « À propos des mises à jour de sécurité Dependabot ».

Vous pouvez activer ou désactiver Dependabot security updates pour un référentiel individuel, pour une sélection de référentiels dans une organisation, ou pour tous les référentiels appartenant à votre compte personnel ou organisation. Pour plus d’informations sur l’activation des fonctionnalités de sécurité dans une organisation, consultez Démarrage rapide pour la sécurisation de votre organisation.

Note

Lorsque les Dependabot security updates sont activées pour un référentiel, Dependabot tente automatiquement d’ouvrir des demandes de tirage pour résoudre chaque alerte Dependabot ouverte qui a une mise à jour corrective disponible. Si vous préférez personnaliser les alertes pour lesquelles Dependabot ouvre les demandes de tirage, vous devez laisser Dependabot security updates désactivées et créer une règle de triage automatique. Pour plus d’informations, consultez « Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité ».

Dépôts pris en charge

GitHub active automatiquement les Dependabot security updates pour les dépôts nouvellement créés si votre compte personnel ou votre organisation a coché Activer automatiquement pour les nouveaux dépôts pour les Dependabot security updates. Pour plus d’informations, consultez Gestion des Dependabot security updates pour vos référentiels.

Si vous créez une duplication d’un dépôt où les mises à jour de sécurité sont activées, GitHub désactive automatiquement les Dependabot security updates pour la duplication. Vous pouvez ensuite décider d’activer les Dependabot security updates sur la duplication spécifique.

Si les mises à jour de sécurité ne sont pas activées pour votre dépôt et que vous ne savez pas pourquoi, essayez d’abord de les activer en utilisant les instructions fournies dans les sections procédurales ci-dessous. Si les mises à jour de sécurité ne fonctionnent toujours pas, vous pouvez contacter votre administrateur de site.

Gestion des Dependabot security updates pour vos dépôts

Vous pouvez également activer ou désactiver les Dependabot security updates pour tous les dépôts qualifiés appartenant à votre compte personnel ou votre organisation. Pour plus d’informations, consultez Gestion des paramètres de sécurité et d’analyse pour votre compte personnel ou Gestion des paramètres de sécurité et d'analyse pour votre organisation.

Vous pouvez aussi activer ou désactiver les Dependabot security updates pour un dépôt individuel.

Activation ou désactivation des Dependabot security updates pour un dépôt individuel

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  4. Dans « Sécurité et analyse du code », à droite « des mises à jour de sécurité Dependabot », cliquez sur Activer pour activer la fonctionnalité ou sur Désactiver pour la désactiver.

Substitution du comportement par défaut avec un fichier de configuration

Vous pouvez remplacer le comportement par défaut de Dependabot security updates en ajoutant un fichier dependabot.yml à votre référentiel.

Si vous avez uniquement besoin de correctifs de sécurité et que vous souhaitez exclure les mises à jour de version, vous pouvez définir open-pull-requests-limit sur 0 pour empêcher les mises à jour de version pour un package-ecosystem donné.

Pour plus d’informations sur les options de configuration disponibles pour les correctifs de sécurité, consultez Dependabot options reference.

# Example configuration file that:
#  - Has a private registry
#  - Ignores lodash dependency
#  - Disables version-updates

version: 2
registries:
  example:
    type: npm-registry
    url: https://example.com
    token: ${{secrets.NPM_TOKEN}}
updates:
  - package-ecosystem: "npm"
    directory: "/src/npm-project"
    schedule:
      interval: "daily"
    # For Lodash, ignore all updates
    ignore:
      - dependency-name: "lodash"
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0
    registries:
      - example
  

Note

Pour que Dependabot utilise cette configuration pour les mises à jour de sécurité, le directory doit être le chemin d'accès aux fichiers manifestes, et vous ne devez pas spécifier un target-branch.

Pour aller plus loin