Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.

Configuration des mises à jour de sécurité Dependabot

Vous pouvez utiliser Dependabot security updates ou des demandes de tirage manuel pour mettre facilement à jour les dépendances vulnérables.

Remarque : Votre administrateur de site doit configurer les Dependabot updates pour your GitHub Enterprise Server instance afin que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».

À propos de la configuration des Dependabot security updates

Vous pouvez activer les Dependabot security updates pour un dépôt, ou pour tous les dépôts appartenant à votre compte personnel ou à l’organisation. Vous pouvez activer les Dependabot security updates pour n’importe quel dépôt qui utilise les Dependabot alerts et le graphe de dépendances. Pour plus d’informations, consultez « À propos des Dependabot security updates ».

Vous pouvez désactiver Dependabot security updates pour un dépôt individuel ou pour tous les dépôts appartenant à votre compte personnel ou organisation.

Dépôts pris en charge

GitHub active automatiquement les Dependabot security updates pour les dépôts nouvellement créés si votre compte personnel ou votre organisation a coché Activer automatiquement pour les nouveaux dépôts pour les Dependabot security updates. Pour plus d’informations, consultez « Gestion des Dependabot security updates pour vos dépôts ».

Si vous créez une duplication d’un dépôt où les mises à jour de sécurité sont activées, GitHub désactive automatiquement les Dependabot security updates pour la duplication. Vous pouvez ensuite décider d’activer les Dependabot security updates sur la duplication spécifique.

Si les mises à jour de sécurité ne sont pas activées pour votre dépôt et que vous ne savez pas pourquoi, essayez d’abord de les activer en utilisant les instructions fournies dans les sections procédurales ci-dessous. Si les mises à jour de sécurité ne fonctionnent toujours pas, vous pouvez contacter your site administrator.

Gestion des Dependabot security updates pour vos dépôts

Vous pouvez également activer ou désactiver les Dependabot security updates pour tous les dépôts qualifiés appartenant à votre compte personnel ou votre organisation. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre compte personnel » ou « Gestion des paramètres de sécurité et d’analyse pour votre organisation ».

Vous pouvez aussi activer ou désactiver les Dependabot security updates pour un dépôt individuel.

Activation ou désactivation des Dependabot security updates pour un dépôt individuel

  1. Dans your GitHub Enterprise Server instance, accédez à la page principale du dépôt. 1. Sous le nom de votre dépôt, cliquez sur Paramètres. Bouton Paramètres du dépôt

  2. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  3. Sous « Sécurité et analyse du code », à droite de « Mises à jour de sécurité Dependabot », cliquez sur Activer pour activer la fonctionnalité ou sur Désactiver pour la désactiver. Capture d’écran de la section « Sécurité et analyse du code » avec le bouton pour activer Dependabot security updates

Substitution du comportement par défaut avec un fichier de configuration

Vous pouvez remplacer le comportement par défaut de Dependabot security updates en ajoutant un fichier dependabot.yml à votre référentiel. Pour plus d’informations, consultez « Options de configuration pour le fichier dependabot.yml ».

Si vous avez uniquement besoin de mises à jour de sécurité et que vous souhaitez exclure les mises à jour de version, vous pouvez définir open-pull-requests-limit sur 0 pour empêcher les mises à jour de version pour une version donnée package-ecosystem. Pour plus d’informations, consultez « open-pull-requests-limit ».

# Example configuration file that:
#  - Ignores lodash dependency
#  - Disables version-updates

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    ignore:
      - dependency-name: "lodash"
        # For Lodash, ignore all updates
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0

Pour plus d’informations sur les options de configuration disponibles pour les mises à jour de sécurité, consultez le tableau dans « Options de configuration pour le fichier dependabot.yml ».

Pour aller plus loin