Remarque : Votre administrateur de site doit configurer les Dependabot updates pour votre instance GitHub Enterprise Server afin que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».
À propos des Dependabot security updates
Les Dependabot security updates facilitent la résolution des dépendances vulnérables dans votre dépôt. Si vous activez cette fonctionnalité, quand une alerte Dependabot est déclenchée pour une dépendance vulnérable dans le graphe de dépendances de votre dépôt, Dependabot tente automatiquement de la corriger. Pour plus d’informations, consultez « À propos des alertes Dependabot » et « Configuration des mises à jour de sécurité Dependabot ».
GitHub peut envoyer des Dependabot alerts aux dépôts affectés par une vulnérabilité divulguée par un avis de sécurité GitHub publié récemment. Pour plus d’informations, consultez « Exploration des avis de sécurité dans la base de données GitHub Advisory ».
Dependabot vérifie s’il est possible de mettre à niveau la dépendance vulnérable vers une version corrigée sans interrompre le graphe de dépendances pour le dépôt. Ensuite, Dependabot déclenche une demande de tirage (pull request) pour mettre à jour la dépendance vers la version minimale qui inclut le correctif et lie la demande de tirage à l’alerte Dependabot ou signale une erreur sur l’alerte. Pour plus d’informations, consultez « Résolution des erreurs Dependabot ».
La fonctionnalité des Dependabot security updates est disponible pour les dépôts où vous avez activé le graphe de dépendances et les Dependabot alerts. Vous voyez une alerte Dependabot pour chaque dépendance vulnérable identifiée dans votre graphe de dépendances complet. Toutefois, les mises à jour de sécurité sont déclenchées uniquement pour les dépendances spécifiées dans un manifeste ou un fichier de verrouillage. Pour plus d’informations, consultez « À propos du graphe de dépendances ».
Remarque : Pour npm, Dependabot déclenche une demande de tirage pour mettre à jour une dépendance explicitement définie vers une version sécurisée, même si cela implique la mise à jour de la ou des dépendances parentes, ou même la suppression d’une sous-dépendance dont le parent n’a plus besoin. Pour d’autres écosystèmes, Dependabot ne peut pas mettre à jour une dépendance indirecte ou transitive si cela nécessite également une mise à jour de la dépendance parente. Pour plus d’informations, consultez « Résolution des erreurs Dependabot ».
Vous pouvez activer une fonctionnalité associée, les Dependabot version updates, afin que Dependabot déclenche des demandes de tirage pour mettre à jour le manifeste vers la dernière version de la dépendance, chaque fois qu’il détecte une dépendance obsolète. Pour plus d’informations, consultez « À propos des mises à jour de version Dependabot ».
Quand Dependabot déclenche des demandes de tirage, celles-ci peuvent concerner des mises à jour de sécurité ou de version :
- Les Dependabot security updates sont des demandes de tirage automatisées qui vous aident à mettre à jour les dépendances qui ont des vulnérabilités connues.
- Les Dependabot version updates sont des demandes de tirage automatisées qui tiennent à jour les dépendances, même si elles ne présentent aucune vulnérabilité. Pour vérifier l’état des mises à jour de version, accédez à l’onglet Insights de votre dépôt, puis sélectionnez Dependency Graph et Dependabot.
GitHub Actions n’est indispensable à l’exécution des Dependabot version updates et des Dependabot security updates sur GitHub Enterprise Server. Avant d’activer les Dependabot updates, vous devez configurer votre instance GitHub Enterprise Server pour utiliser GitHub Actions avec des exécuteurs autohébergés. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».
Les Dependabot security updates peuvent corriger les dépendances vulnérables dans GitHub Actions. Lorsque les mises à jour de sécurité sont activées, Dependabot déclenche automatiquement une demande de tirage pour mettre à jour les GitHub Actions vulnérables utilisées dans vos workflows vers la version corrigée minimale.
À propos des demandes de tirage pour les mises à jour de sécurité
Chaque demande de tirage contient tout ce dont vous avez besoin pour examiner un correctif proposé et le fusionner dans votre projet rapidement et de manière sécurisée. Cela inclut des informations sur la vulnérabilité, telles que les notes de publication, les entrées du journal des modifications et les détails de commit. Les détails de la vulnérabilité qui est résolue par une demande de tirage sont masqués pour toute personne qui n’a pas accès aux Dependabot alerts pour le dépôt.
Quand vous fusionnez une demande de tirage contenant une mise à jour de sécurité, l’alerte Dependabot correspondante est marquée comme résolue pour votre dépôt. Pour plus d’informations sur les demandes de tirage Dependabot, consultez « Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances ».
Remarque : Une bonne pratique consiste à mettre en place des tests automatisés et des processus d’acceptation afin que les vérifications soient effectuées avant la fusion de la demande de tirage. Cette pratique est d’autant plus importante si la version suggérée vers laquelle effectuer la mise à niveau contient des fonctionnalités supplémentaires ou un changement qui casse le code de votre projet. Pour plus d’informations sur l’intégration continue, consultez « À propos de l’intégration continue ».
À propos des notifications pour les mises à jour de sécurité Dependabot
Vous pouvez filtrer vos notifications sur GitHub pour afficher les mises à jour de sécurité Dependabot. Pour plus d’informations, consultez « Gestion des notifications à partir de votre boîte de réception ».