Remarque : Votre administrateur de site doit configurer les Dependabot updates pour votre instance GitHub Enterprise Server afin que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».
L’onglet Dependabot alerts de votre dépôt liste toutes les Dependabot alerts ouvertes et fermées et les Dependabot security updates correspondantes. Vous pouvez filtrer les alertes par package, écosystème ou manifeste. Vous pouvez trier la liste des alertes. Cliquez dans des alertes spécifiques pour plus de détails. Vous pouvez également ignorer ou rouvrir des alertes. Pour plus d’informations, consultez « À propos des alertes Dependabot ».
Vous pouvez activer les mises à jour de sécurité automatiques pour n’importe quel dépôt qui utilise les Dependabot alerts et le graphe de dépendances. Pour plus d’informations, consultez « À propos des mises à jour de sécurité Dependabot ».
À propos des mises à jour des dépendances vulnérables dans votre dépôt
GitHub Enterprise Server génère Dependabot alerts quand nous détectons que votre codebase utilise des dépendances avec des risques de sécurité connus. Pour les dépôts où les Dependabot security updates sont activées, quand GitHub Enterprise Server détecte une dépendance vulnérable dans la branche par défaut, Dependabot crée une demande de tirage (pull request) pour la corriger. La demande de tirage met à niveau la dépendance vers la version sécurisée minimale nécessaire pour éviter la vulnérabilité.
Chaque alerte Dependabot a un identificateur numérique unique et l’onglet the Dependabot alerts liste une alerte pour chaque vulnérabilité détectée. Les Dependabot alerts héritées ont regroupé les vulnérabilités par dépendance et ont généré une alerte unique par dépendance. Si vous accédez à une alerte Dependabot, vous êtes redirigé vers un onglet Dependabot alerts filtré pour ce package.
Vous pouvez filtrer et trier des Dependabot alerts en utilisant divers filtres et options de tri disponibles dans l’interface utilisateur. Pour plus d’informations, consultez « Hiérarchisation des Dependabot alerts » ci-dessous.
Vous pouvez également auditer les actions effectuées en réponse aux alertes Dependabot. Pour plus d’informations, consultez « Audit des alertes de sécurité ».
Hiérarchisation des Dependabot alerts
GitHub vous permet d’établir des priorités pour corriger les Dependabot alerts.
Vous pouvez trier et filtrer les Dependabot alerts en tapant des filtres sous forme de paires key:value
dans la barre de recherche.
Option | Description | Exemple |
---|---|---|
ecosystem | Affiche des alertes pour l’écosystème sélectionné | Utiliser ecosystem:npm pour afficher des Dependabot alerts pour npm |
is | Affiche les alertes en fonction de leur état | Utiliser is:open pour afficher les alertes ouvertes |
manifest | Affiche les alertes du manifeste sélectionné | Utiliser manifest:webwolf/pom.xml pour afficher les alertes sur le fichier pom.xml de l’application webwolf |
package | Affiche les alertes du package sélectionné | Utiliser package:django pour afficher les alertes pour django |
resolution | Affiche les alertes de l’état de résolution sélectionné | Utiliser resolution:no-bandwidth pour afficher les alertes précédemment parquées en raison d’un manque de ressources ou d’un délai de correction |
repo | Affiche les alertes en fonction du dépôt auquel elles sont liées Notez que ce filtre est disponible uniquement pour la vue d’ensemble de la sécurité. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ». | Utiliser repo:octocat-repo pour afficher les alertes dans le dépôt appelé octocat-repo |
severity | Affiche les alertes en fonction de leur niveau de gravité | Utiliser severity:high pour afficher les alertes dont le niveau de gravité est élevé |
En plus des filtres disponibles via la barre de recherche, vous pouvez trier et filtrer les Dependabot alerts à l’aide des menus déroulants situés en haut de la liste d’alertes.
La barre de recherche permet également la recherche en texte intégral d’alertes et des avis de sécurité associés. Vous pouvez rechercher une partie d’un nom ou d’une description d’avis de sécurité pour retourner les alertes de votre dépôt qui se rapportent à cet avis de sécurité. Par exemple, la recherche de yaml.load() API could execute arbitrary code
retourne les Dependabot alerts liées à « PyYAML désérialise de manière non sécurisée les chaînes YAML entraînant une exécution arbitraire du code », car la chaîne de recherche apparaît dans la description de l’avis.
Vous pouvez sélectionner un filtre dans un menu déroulant situé en haut de la liste, puis cliquer sur le filtre que vous souhaitez appliquer.
Affichage Dependabot alerts
- Dans votre instance GitHub Enterprise Server, accédez à la page principale du dépôt. 1. Sous le nom du dépôt, cliquez sur Sécurité.
1. Dans la barre latérale « Alertes de vulnérabilité » de la vue d’ensemble de la sécurité, cliquez sur Dependabot . Si cette option est absente, cela signifie que vous n'avez pas accès aux alertes de sécurité et que vous devez y avoir accès. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ». - Pour filtrer les alertes, vous pouvez sélectionner un filtre dans un menu déroulant, puis cliquer sur le filtre que vous souhaitez appliquer. Vous pouvez également taper des filtres dans la barre de recherche. Pour plus d’informations sur le filtrage et le tri des alertes, consultez « Hiérarchisation des Dependabot alerts ».
- Cliquez sur l’alerte que vous voulez visualiser.
Examen et résolution des alertes
Il est important de s’assurer que toutes vos dépendances sont exemptes de toute faille de sécurité. Quand Dependabot détecte des vulnérabilités dans vos dépendances, vous devez évaluer le niveau d’exposition de votre projet et déterminer les étapes de correction à suivre pour sécuriser votre application.
Si une version corrigée de la dépendance est disponible, vous pouvez générer une demande de tirage (pull request) Dependabot pour mettre à jour cette dépendance directement à partir d’une alerte Dependabot. Si vous avez les Dependabot security updates activées, la demande de tirage (pull request) peut être liée dans l’alerte Dependabot.
Dans les cas où une version corrigée n’est pas disponible ou si vous ne pouvez pas effectuer de mise à jour vers la version sécurisée, Dependabot partage des informations supplémentaires pour vous aider à déterminer les étapes suivantes. Quand vous cliquez pour afficher une alerte Dependabot, vous pouvez voir les détails complets de l’avis de sécurité pour la dépendance, y compris les fonctions affectées. Vous pouvez ensuite vérifier si votre code appelle les fonctions impactées. Ces informations peuvent vous aider à mieux évaluer votre niveau de risque et à déterminer les solutions de contournement ou si vous êtes en mesure d’accepter le risque représenté par le conseil de sécurité.
Correction des dépendances vulnérables
-
Affichez les détails d’une alerte. Pour plus d’informations, consultez « Affichage Dependabot alerts » (ci-dessus).
-
Si les Dependabot security updates sont activées, il peut y avoir un lien vers une demande de tirage qui corrigera la dépendance. Vous pouvez également cliquer sur Créer la mise à jour de sécurité Dependabot en haut de la page des détails de l’alerte pour créer une demande de tirage.
-
Éventuellement, si vous n’utilisez pas les Dependabot security updates, vous pouvez utiliser les informations de la page pour décider vers quelle version de la dépendance mettre à niveau et créer une demande de tirage pour mettre à jour la dépendance vers une version sécurisée.
-
Quand vous êtes prêt à mettre à jour votre dépendance et à résoudre la vulnérabilité, fusionnez la demande de tirage.
Chaque demande de tirage émise par Dependabot comprend des informations sur les commandes que vous pouvez utiliser pour contrôler Dependabot. Pour plus d’informations, consultez « Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances ».
Ignorer les Dependabot alerts
Conseil : Vous ne pouvez ignorer que les alertes ouvertes.
Si vous planifiez un travail de grande ampleur pour mettre à niveau une dépendance ou si vous décidez qu’une alerte n’a pas besoin d’être corrigée, vous pouvez ignorer l’alerte. Ignorer les alertes que vous avez déjà évaluées facilite le tri des nouvelles alertes à mesure qu’elles apparaissent.
-
Affichez les détails d’une alerte. Pour plus d’informations, consultez « Affichage des dépendances vulnérables » (ci-dessus).
-
Sélectionnez la liste déroulante « Ignorer », puis cliquez sur une raison pour ignorer l’alerte. Les alertes ignorées non corrigées peuvent être rouvertes ultérieurement.
Affichage et mise à jour des alertes fermées
Vous pouvez afficher toutes les alertes ouvertes et rouvrir les alertes qui ont été précédemment ignorées. Les alertes fermées qui ont déjà été corrigées ne peuvent pas être rouvertes.
-
Dans votre instance GitHub Enterprise Server, accédez à la page principale du dépôt. 1. Sous le nom du dépôt, cliquez sur Sécurité.
1. Dans la barre latérale « Alertes de vulnérabilité » de la vue d’ensemble de la sécurité, cliquez sur Dependabot . Si cette option est absente, cela signifie que vous n'avez pas accès aux alertes de sécurité et que vous devez y avoir accès. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ». -
Pour afficher simplement les alertes fermées, cliquez sur Fermé.
-
Cliquez sur l’alerte que vous voulez visualiser ou mettre à jour.
-
Éventuellement, si l’alerte a été ignorée et que vous souhaitez la rouvrir, cliquez sur Rouvrir. Les alertes qui ont déjà été corrigées ne peuvent pas être rouvertes.
Remarque : Cette fonctionnalité n’était pas disponible dans GitHub Enterprise Server 3.5.0, 3.5.1, 3.5.2 et 3.5.3. La fonctionnalité est disponible dans la version 3.5.4 et ultérieure. Pour plus d’informations sur les mises à niveau, contactez votre administrateur de site.
Pour plus d’informations sur la façon de déterminer la version de GitHub Enterprise Server que vous utilisez, consultez « À propos des versions de GitHub Docs ».
Examen des journaux d’audit pour Dependabot alerts
Lorsqu’un membre de votre organisation ou d’entreprise effectue une action liée à Dependabot alerts, vous pouvez examiner les actions dans le journal d’audit. Pour plus d’informations sur l’accès au journal, consultez « Examen du journal d’audit de votre organisation » et « Accès au journal d’audit de votre entreprise ».
Les événements de votre journal d’audit pour Dependabot alerts incluent des détails tels que qui a effectué l’action, ce qu’était l’action et quand l’action a été effectuée. Pour plus d’informations sur les actions Dependabot alerts, consultez la catégorie repository_vulnerability_alert
dans « Événements du journal d’audit pour votre organisation » et « Événements du journal d’audit pour votre entreprise ».