Remarque : Votre administrateur de site doit configurer les Dependabot updates pour votre instance GitHub Enterprise Server afin que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».
L’onglet Dependabot alerts de votre dépôt liste toutes les Dependabot alerts ouvertes et fermées et les Dependabot security updates correspondantes. Vous pouvez trier la liste des alertes. Cliquez dans des alertes spécifiques pour plus de détails. Vous pouvez également ignorer ou rouvrir des alertes. Pour plus d’informations, consultez « À propos des alertes Dependabot ».
Vous pouvez activer les mises à jour de sécurité automatiques pour n’importe quel dépôt qui utilise les Dependabot alerts et le graphe de dépendances. Pour plus d’informations, consultez « À propos des mises à jour de sécurité Dependabot ».
À propos des mises à jour des dépendances vulnérables dans votre dépôt
GitHub Enterprise Server génère Dependabot alerts quand nous détectons que votre codebase utilise des dépendances avec des risques de sécurité connus. Pour les dépôts où les Dependabot security updates sont activées, quand GitHub Enterprise Server détecte une dépendance vulnérable dans la branche par défaut, Dependabot crée une demande de tirage (pull request) pour la corriger. La demande de tirage met à niveau la dépendance vers la version sécurisée minimale nécessaire pour éviter la vulnérabilité.
Chaque alerte Dependabot a un identificateur numérique unique et l’onglet the Dependabot alerts liste une alerte pour chaque vulnérabilité détectée. Les Dependabot alerts héritées ont regroupé les vulnérabilités par dépendance et ont généré une alerte unique par dépendance. Si vous accédez à une alerte Dependabot, vous êtes redirigé vers un onglet Dependabot alerts filtré pour ce package.
Affichage Dependabot alerts
- Dans votre instance GitHub Enterprise Server, accédez à la page principale du dépôt. 1. Sous le nom du dépôt, cliquez sur Sécurité.
1. Dans la barre latérale « Alertes de vulnérabilité » de la vue d’ensemble de la sécurité, cliquez sur Dependabot . Si cette option est absente, cela signifie que vous n'avez pas accès aux alertes de sécurité et que vous devez y avoir accès. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ». - Cliquez sur l’alerte que vous souhaitez voir.
Examen et résolution des alertes
Il est important de s’assurer que toutes vos dépendances sont exemptes de toute faille de sécurité. Quand Dependabot détecte des vulnérabilités dans vos dépendances, vous devez évaluer le niveau d’exposition de votre projet et déterminer les étapes de correction à suivre pour sécuriser votre application.
Si une version corrigée de la dépendance est disponible, vous pouvez générer une demande de tirage (pull request) Dependabot pour mettre à jour cette dépendance directement à partir d’une alerte Dependabot. Si vous avez les Dependabot security updates activées, la demande de tirage (pull request) peut être liée dans l’alerte Dependabot.
Dans les cas où une version corrigée n’est pas disponible ou si vous ne pouvez pas effectuer de mise à jour vers la version sécurisée, Dependabot partage des informations supplémentaires pour vous aider à déterminer les étapes suivantes. Quand vous cliquez pour afficher une alerte Dependabot, vous pouvez voir les détails complets de l’avis de sécurité pour la dépendance, y compris les fonctions affectées. Vous pouvez ensuite vérifier si votre code appelle les fonctions impactées. Ces informations peuvent vous aider à mieux évaluer votre niveau de risque et à déterminer les solutions de contournement ou si vous êtes en mesure d’accepter le risque représenté par le conseil de sécurité.
Correction des dépendances vulnérables
-
Affichez les détails d’une alerte. Pour plus d’informations, consultez « Affichage Dependabot alerts » (ci-dessus).
-
Si les Dependabot security updates sont activées, il peut y avoir un lien vers une demande de tirage qui corrigera la dépendance. Vous pouvez également cliquer sur Créer la mise à jour de sécurité Dependabot en haut de la page des détails de l’alerte pour créer une demande de tirage.
-
Éventuellement, si vous n’utilisez pas les Dependabot security updates, vous pouvez utiliser les informations de la page pour décider vers quelle version de la dépendance mettre à niveau et créer une demande de tirage pour mettre à jour la dépendance vers une version sécurisée.
-
Quand vous êtes prêt à mettre à jour votre dépendance et à résoudre la vulnérabilité, fusionnez la demande de tirage.
Chaque demande de tirage émise par Dependabot comprend des informations sur les commandes que vous pouvez utiliser pour contrôler Dependabot. Pour plus d’informations, consultez « Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances ».
Ignorer les Dependabot alerts
Conseil : Vous ne pouvez ignorer que les alertes ouvertes.
Si vous planifiez un travail de grande ampleur pour mettre à niveau une dépendance ou si vous décidez qu’une alerte n’a pas besoin d’être corrigée, vous pouvez ignorer l’alerte. Ignorer les alertes que vous avez déjà évaluées facilite le tri des nouvelles alertes à mesure qu’elles apparaissent.
-
Affichez les détails d’une alerte. Pour plus d’informations, consultez « Affichage des dépendances vulnérables » (ci-dessus).
-
Sélectionnez la liste déroulante « Ignorer », puis cliquez sur une raison pour ignorer l’alerte.
Examen des journaux d’audit pour Dependabot alerts
Lorsqu’un membre de votre organisation ou d’entreprise effectue une action liée à Dependabot alerts, vous pouvez examiner les actions dans le journal d’audit. Pour plus d’informations sur l’accès au journal, consultez « Examen du journal d’audit de votre organisation » et « Accès au journal d’audit de votre entreprise ».
Les événements de votre journal d’audit pour Dependabot alerts incluent des détails tels que qui a effectué l’action, ce qu’était l’action et quand l’action a été effectuée. Pour plus d’informations sur les actions Dependabot alerts, consultez la catégorie repository_vulnerability_alert
dans « Événements du journal d’audit pour votre organisation » et « Événements du journal d’audit pour votre entreprise ».