Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Activation de Dependabot pour votre entreprise

Vous pouvez aussi autoriser les utilisateurs de your GitHub Enterprise Server instance à rechercher et corriger les vulnérabilités dans leurs dépendances de code en activant Dependabot alerts et Dependabot updates.

Who can use this feature

Enterprise owners can enable Dependabot.

À propos de Dependabot pour GitHub Enterprise Server

Dependabot permet aux utilisateurs de your GitHub Enterprise Server instance de rechercher et corriger les vulnérabilités dans leurs dépendances. Vous pouvez activer les Dependabot alerts pour notifier les utilisateurs à propos des dépendances vulnérables ainsi que les Dependabot updates pour corriger les vulnérabilités et tenir à jour les dépendances avec la dernière version.

Dependabot n’est qu’une des nombreuses fonctionnalités disponibles pour durcir la sécurité de la chaîne d’approvisionnement pour your GitHub Enterprise Server instance. Pour plus d’informations sur les autres fonctionnalités, consultez « À propos de la sécurité de la chaîne d’approvisionnement pour votre entreprise ».

À propos des Dependabot alerts

Avec Dependabot alerts, GitHub identifie les dépendances vulnérables dans les dépôts et crée des alertes sur your GitHub Enterprise Server instance, en utilisant les données de GitHub Advisory Database et du service de graphe des dépendances.

Nous ajoutons des conseils à la GitHub Advisory Database à partir des sources suivantes :

Si vous connaissez une autre base de données à partir de laquelle nous devrions importer des avis, dites-le nous en ouvrant un problème dans https://github.com/github/advisory-database.

Une fois que vous avez activé les Dependabot alerts pour votre entreprise, les données de vulnérabilité sont synchronisées entre GitHub Advisory Database et votre instance une fois par heure. Seuls les avis examinés par GitHub sont synchronisés. Pour plus d’informations, consultez « Exploration des avis de sécurité dans la GitHub Advisory Database ».

Vous pouvez aussi choisir de synchroniser manuellement les données de vulnérabilité à n’importe quel moment. Pour plus d’informations, consultez « Consultation des données de vulnérabilité de votre entreprise ».

Remarque : Quand vous activez les Dependabot alerts, aucun code ni aucune information sur le code de your GitHub Enterprise Server instance ne sont chargés sur GitHub.com.

Quand your GitHub Enterprise Server instance reçoit des informations sur une vulnérabilité, elle identifie les dépôts de your GitHub Enterprise Server instance qui utilisent la version affectée de la dépendance et génère des Dependabot alerts. Vous pouvez choisir de notifier automatiquement les utilisateurs à propos des nouvelles Dependabot alerts.

Dans le cas des dépôts où les Dependabot alerts sont activées, l’analyse est déclenchée pour tout envoi (push) vers la branche par défaut qui contient un fichier manifeste ou un fichier de verrouillage. De plus, quand un nouvel enregistrement de vulnérabilité est ajouté à your GitHub Enterprise Server instance, GitHub Enterprise Server analyse tous les dépôts existants de your GitHub Enterprise Server instance et génère des alertes les dépôts vulnérables. Pour plus d’informations, consultez « À propos des Dependabot alerts ».

À propos des Dependabot updates

Après avoir activé les Dependabot alerts, vous pouvez choisir d’activer les Dependabot updates. Quand les Dependabot updates sont activés pour your GitHub Enterprise Server instance, les utilisateurs peuvent configurer des dépôts de telle sorte que leurs dépendances soient automatiquement mises à jour et maintenues en sécurité.

Remarque : Les Dependabot updates sur GitHub Enterprise Server ont besoin de GitHub Actions avec des exécuteurs auto-hébergés.

Par défaut, les exécuteurs GitHub Actions utilisés par Dependabot ont besoin d’accéder à Internet pour télécharger des packages mis à jour à partir de gestionnaires de packages en amont. Pour Dependabot updates alimenté par GitHub Connect, l’accès Internet fournit à vos exécuteurs un jeton qui permet d’accéder aux dépendances et aux avis hébergés sur GitHub.com.

Avec les Dependabot updates, GitHub crée automatiquement des demandes de tirage (pull request) pour mettre à jour les dépendances de deux façons.

  • Dependabot version updates  : Les utilisateurs ajoutent un fichier de configuration Dependabot au dépôt pour permettre à Dependabot de créer des demandes de tirage quand une nouvelle version d’une dépendance suivie est publiée. Pour plus d’informations, consultez « À propos des Dependabot version updates ».
  • Dependabot security updates  : Les utilisateurs activent un paramètre de dépôt pour permettre à Dependabot de créer des demandes de tirage quand GitHub détecte une vulnérabilité dans l’une des dépendances du graphe de dépendances du dépôt. Pour plus d’informations, consultez « À propos des Dependabot alerts » et « À propos des Dependabot security updates ».

Activation des Dependabot alerts

Avant de pouvoir activer les Dependabot alerts :

  1. Dans le coin supérieur droit de GitHub Enterprise Server, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise. « Paramètres d’entreprise » dans le menu déroulant de la photo de profil sur GitHub Enterprise Server 1. Sur la barre latérale du compte d’entreprise, cliquez sur GitHub Connect . Onglet GitHub Connect de la barre latérale du compte d’entreprise

  2. Sous « Dependabot », à droite de « Les utilisateurs peuvent recevoir des alertes de vulnérabilité pour les dépendances de code open source », sélectionnez le menu déroulant, puis cliquez sur Activé sans notifications. Si vous le souhaitez, vous pouvez activer les alertes avec des notifications en cliquant sur Activé avec notifications.

    Capture d’écran du menu déroulant permettant d’activer la recherche de vulnérabilités dans les dépôts

    Conseil : Nous vous recommandons de configurer les Dependabot alerts sans notifications pour les premiers jours afin d’éviter d’être surchargé d’e-mails. Après quelques jours, activez les notifications pour recevoir normalement les Dependabot alerts.

Activation des Dependabot updates

Après avoir activé les Dependabot alerts pour votre entreprise, vous pouvez activer les Dependabot updates.

Avant d’activer les Dependabot updates, vous devez configurer your GitHub Enterprise Server instance pour utiliser GitHub Actions avec des exécuteurs autohébergés. Pour plus d’informations, consultez « Bien démarrer avec GitHub Actions pour GitHub Enterprise Server ».

Les Dependabot updates ne sont pas prises en charge sur GitHub Enterprise Server si votre entreprise utilise le clustering.

  1. Connectez-vous à your GitHub Enterprise Server instance à l’adresse http(s)://HOSTNAME/login. 1. À partir d’un compte d’administration sur GitHub Enterprise Server, cliquez sur dans le coin supérieur droit de n’importe quelle page.

    Capture d’écran de l’icône représentant une fusée qui donne accès aux paramètres d’administration du site

  2. Si vous ne figurez pas déjà sur la page « Administrateur du site », dans le coin supérieur gauche, cliquez sur Administrateur du site.

    Capture d’écran du lien « Administrateur du site » 1. Dans la barre latérale gauche, cliquez sur Management Console . Onglet Management Console dans la barre latérale gauche 1. Dans le volet gauche, cliquez sur Sécurité. Barre latérale de sécurité

  3. Sous « Sécurité », sélectionnez Dependabot security updates .

    Capture d’écran de la case à cocher permettant d’activer ou de désactiver les Dependabot security updates

  4. Sous la barre latérale gauche, cliquez sur Enregistrer les paramètres.

    Capture d’écran du bouton Enregistrer les paramètres de la Management Console

    Remarque : l’enregistrement des paramètres dans la Management Console redémarre les services système, ce qui peut entraîner un temps d’arrêt visible pour l’utilisateur.

  5. Attendez la fin de l’exécution de la configuration.

    Configuration de votre instance

  6. Cliquez sur Accéder à votre instance.

  7. Configurez des exécuteurs auto-hébergés dédiés de façon à créer les demandes de tirage destinées à mettre à jour les dépendances. C’est obligatoire parce que les workflows utilisent une étiquette d’exécuteur spécifique. Pour plus d’informations, consultez « Gestion des exécuteurs auto-hébergés pour les Dependabot updates dans votre entreprise ».

  8. Dans le coin supérieur droit de GitHub Enterprise Server, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise. « Paramètres d’entreprise » dans le menu déroulant de la photo de profil sur GitHub Enterprise Server 1. Sur la barre latérale du compte d’entreprise, cliquez sur GitHub Connect . Onglet GitHub Connect de la barre latérale du compte d’entreprise

  9. Sous « Dependabot », à droite de « Les utilisateurs peuvent facilement effectuer une mise à niveau vers des dépendances de code open source non vulnérables », cliquez sur Activer.

    Capture d’écran du menu déroulant permettant d’activer la mise à jour des dépendances vulnérables

Quand vous activez Dependabot alerts, envisagez également de configurer GitHub Actions pour Dependabot security updates. Cette fonctionnalité permet aux développeurs de corriger les vulnérabilités dans leurs dépendances. Pour plus d’informations, consultez « Gestion des exécuteurs auto-hébergés pour les Dependabot updates dans votre entreprise ».

Si vous avez besoin d’une sécurité renforcée, nous vous recommandons de configurer Dependabot pour utiliser des registres privés. Pour plus d’informations, consultez « Gestion des secrets chiffrés pour Dependabot ».