Skip to main content

Cette version de GitHub Enterprise a été abandonnée le 2023-01-18. Aucune publication de correctifs n’est effectuée, même pour les problèmes de sécurité critiques. Pour de meilleures performances, une sécurité améliorée et de nouvelles fonctionnalités, effectuez une mise à niveau vers la dernière version de GitHub Enterprise. Pour obtenir de l’aide sur la mise à niveau, contactez le support GitHub Enterprise.

À propos des mises à jour de sécurité Dependabot

Dependabot peut corriger automatiquement les dépendances vulnérables en formulant des demandes de tirage avec des mises à jour de sécurité.

Les Dependabot security updates sont gratuites pour les référentiels (appartenant à l’utilisateur et appartenant à l’organisation) sur GitHub Enterprise Server, à condition que les administrateurs d’entreprise activent la fonctionnalité pour votre entreprise.

**Remarque :** Les mises à jour de sécurité et de version de Dependabot sont actuellement en version bêta privée et susceptibles d’être modifiées. [Contactez votre équipe de gestion de compte](https://enterprise.github.com/contact) pour obtenir des instructions sur l’activation des mises à jour de Dependabot.

Remarque : Votre administrateur de site doit configurer les Dependabot updates pour your GitHub Enterprise Server instance afin que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».

À propos des Dependabot security updates

Les Dependabot security updates facilitent la résolution des dépendances vulnérables dans votre dépôt. Si vous activez cette fonctionnalité, quand une alerte Dependabot est déclenchée pour une dépendance vulnérable dans le graphe de dépendances de votre dépôt, Dependabot tente automatiquement de la corriger. Pour plus d’informations, consultez « À propos des Dependabot alerts » et « Configuration des Dependabot security updates ».

GitHub peut envoyer des Dependabot alerts aux dépôts affectés par une vulnérabilité divulguée par un avis de sécurité GitHub publié récemment. Pour plus d’informations, consultez « Exploration des avis de sécurité dans la GitHub Advisory Database ».

Dependabot vérifie s’il est possible de mettre à niveau la dépendance vulnérable vers une version corrigée sans interrompre le graphe de dépendances pour le dépôt. Ensuite, Dependabot déclenche une demande de tirage (pull request) pour mettre à jour la dépendance vers la version minimale qui inclut le correctif et lie la demande de tirage à l’alerte Dependabot ou signale une erreur sur l’alerte. Pour plus d’informations, consultez « Résolution des erreurs Dependabot ».

La fonctionnalité des Dependabot security updates est disponible pour les dépôts où vous avez activé le graphe de dépendances et les Dependabot alerts. Vous voyez une alerte Dependabot pour chaque dépendance vulnérable identifiée dans votre graphe de dépendances complet. Toutefois, les mises à jour de sécurité sont déclenchées uniquement pour les dépendances spécifiées dans un manifeste ou un fichier de verrouillage. Pour plus d’informations, consultez « À propos du graphe des dépendances ».

Vous pouvez activer une fonctionnalité associée, les Dependabot version updates, afin que Dependabot déclenche des demandes de tirage pour mettre à jour le manifeste vers la dernière version de la dépendance, chaque fois qu’il détecte une dépendance obsolète. Pour plus d’informations, consultez « À propos des mises à jour de version Dependabot ».

Quand Dependabot déclenche des demandes de tirage, celles-ci peuvent concerner des mises à jour de sécurité ou de version :

  • Les Dependabot security updates sont des demandes de tirage automatisées qui vous aident à mettre à jour les dépendances qui ont des vulnérabilités connues.
  • Les Dependabot version updates sont des demandes de tirage automatisées qui tiennent à jour les dépendances, même si elles ne présentent aucune vulnérabilité. Pour vérifier l’état des mises à jour de version, accédez à l’onglet Insights de votre dépôt, puis sélectionnez Dependency Graph et Dependabot.

GitHub Actions n’est indispensable à l’exécution des Dependabot version updates et des Dependabot security updates sur GitHub Enterprise Server. Avant d’activer les Dependabot updates, vous devez configurer your GitHub Enterprise Server instance pour utiliser GitHub Actions avec des exécuteurs autohébergés. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».

Les Dependabot security updates

À propos des demandes de tirage pour les mises à jour de sécurité

Chaque demande de tirage contient tout ce dont vous avez besoin pour examiner un correctif proposé et le fusionner dans votre projet rapidement et de manière sécurisée. Cela inclut des informations sur la vulnérabilité, telles que les notes de publication, les entrées du journal des modifications et les détails de commit. Les détails de la vulnérabilité qui est résolue par une demande de tirage sont masqués pour toute personne qui n’a pas accès aux Dependabot alerts pour le dépôt.

Quand vous fusionnez une demande de tirage contenant une mise à jour de sécurité, l’alerte Dependabot correspondante est marquée comme résolue pour votre dépôt. Pour plus d’informations sur les demandes de tirage Dependabot, consultez « Gestion des demandes de tirage pour les mises à jour des dépendances ».

Remarque : Une bonne pratique consiste à mettre en place des tests automatisés et des processus d’acceptation afin que les vérifications soient effectuées avant la fusion de la demande de tirage. Cette pratique est d’autant plus importante si la version suggérée vers laquelle effectuer la mise à niveau contient des fonctionnalités supplémentaires ou un changement qui casse le code de votre projet. Pour plus d’informations sur l’intégration continue, consultez « À propos de l’intégration continue ».

À propos des notifications pour les mises à jour de sécurité Dependabot

Vous pouvez filtrer vos notifications sur GitHub pour afficher les mises à jour de sécurité Dependabot. Pour plus d’informations, consultez « Gestion des notifications à partir de votre boîte de réception ».