Skip to main content

À propos des règles de triage automatique de Dependabot

Les Règles de triage automatique de Dependabot sont un outil puissant pour vous aider à mieux gérer vos alertes de sécurité à grande échelle. Les Présélections GitHub sont des règles organisées par GitHub que vous pouvez utiliser pour filtrer une quantité substantielle de faux positifs. Les Règles de triage automatique personnalisées permettent de contrôler les alertes ignorées et désactivées temporairement, ou de déclencher un correctif de sécurité Dependabot pour résoudre l’alerte.

Qui peut utiliser cette fonctionnalité ?

Règles de triage automatique de Dependabot sont disponibles pour les types de référentiels suivants :

  • Tous les référentiels pour Présélections GitHub
  • Dépôts appartenant à l'organisation avec GitHub Advanced Security activés pour Règles de triage automatique personnalisées

À propos des Règles de triage automatique de Dependabot

Les Règles de triage automatique de Dependabot vous permettent d’indiquer à Dependabot de trier automatiquement les Dependabot alerts. Vous pouvez utiliser des Règles de triage automatique pour ignorer ou désactiver temporairement certaines alertes automatiquement, ou spécifier les alertes pour lesquelles vous souhaitez que Dependabot ouvre des demandes de tirage.

Il existe deux types de Règles de triage automatique de Dependabot :

  • Présélections GitHub
  • Règles de triage automatique personnalisées

À propos de Présélections GitHub

Les Présélections GitHub pour Dependabot alerts sont des règles disponibles pour tous les dépôts.

Les Présélections GitHub sont des règles organisées par GitHub. Dismiss low impact issues for development-scoped dependencies est une règle prédéfinie pour GitHub. Cette règle ignore automatiquement certains types de vulnérabilités trouvées dans les dépendances npm utilisées dans le cadre du développement. La règle a été organisée de manière à réduire les faux positifs et la fatigue des alertes. Vous ne pouvez pas modifier Présélections GitHub. Pour plus d’informations sur Présélections GitHub, consultez « Utilisation de règles prédéfinies GitHub pour classer les alertes Dependabot par ordre de priorité ».

La règle est activée par défaut pour les référentiels publics et peut être activée pour les dépôts privés. Vous pouvez activer la règle d’un référentiel privé via la tabulation Paramètres du référentiel. Pour plus d’informations, consultez « Activation de la règle Dismiss low impact issues for development-scoped dependencies pour votre référentiel privé. »

À propos des Règles de triage automatique personnalisées

Règles de triage automatique personnalisées pour Dependabot alerts sont disponibles pour les référentiels appartenant aux organisations dans GitHub Enterprise Server, pour les organisations ayant activé GitHub Advanced Security

Grâce aux Règles de triage automatique personnalisées, vous pouvez créer vos propres règles pour ignorer ou rouvrir automatiquement des alertes en fonction de métadonnées ciblées, telles que la gravité, le nom du package, CWE, etc. Vous pouvez également spécifier les alertes pour lesquelles vous souhaitez que Dependabot ouvre des demandes de tirage. Pour plus d’informations, consultez « Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité ».

Vous pouvez créer des règles personnalisées à partir de la tabulation Paramètres du référentiel. Pour plus d’informations, consultez « Ajouter des règles de triage automatique personnalisées à votre référentiel. »

À propos de la suppression automatique des alertes

Bien qu’il puisse être utile d’utiliser des règles de triage automatique pour ignorer automatiquement les alertes, vous pouvez toujours rouvrir les alertes ignorées automatiquement et filtrer pour afficher les alertes qui ont été ignorées automatiquement. Pour plus d’informations, consultez « Gestion des alertes qui ont été ignorées automatiquement par une alerte de triage automatique Dependabot ».

Par ailleurs, les alertes masquées automatiquement restent toujours disponibles pour la création de rapports et la révision, et peuvent être rouvertes automatiquement en cas de modification des métadonnées d’alerte, par exemple :

  • Si vous modifiez l’étendue d’une dépendance de développement à production.
  • Si GitHub modifie certaines métadonnées pour l’avis associé.

Les alertes masquées automatiquement sont définies par le motif de fermeture resolution:auto-dismiss. L’activité de masquage automatique est incluse dans les webhooks d’alerte, dans les API REST et GraphQL, ainsi que dans le journal d’audit. Pour plus d’informations, consultez « Points de terminaison d’API REST pour Dependabot alerts », ainsi que la section « repository_vulnerability_alert » dans « Examen du journal d’audit de votre organisation ».

Pour aller plus loin