Remarque : Votre administrateur de site doit configurer les Dependabot updates pour votre instance GitHub Enterprise Server afin que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».
À propos de la configuration des Dependabot security updates
Vous pouvez activer les Dependabot security updates pour n’importe quel dépôt qui utilise les Dependabot alerts et le graphe de dépendances. Pour plus d’informations, consultez « À propos des mises à jour de sécurité Dependabot ».
Vous pouvez activer ou désactiver Dependabot security updates pour un référentiel individuel ou pour tous les référentiels appartenant à votre compte personnel ou organisation. Pour plus d’informations sur l’activation de fonctionnalités de sécurité dans une organisation, consultez « Sécurisation de votre organisation ».
Dépôts pris en charge
GitHub active automatiquement les Dependabot security updates pour les dépôts nouvellement créés si votre compte personnel ou votre organisation a coché Activer automatiquement pour les nouveaux dépôts pour les Dependabot security updates. Pour plus d’informations, consultez « Gestion des Dependabot security updates pour vos dépôts ».
Si vous créez une duplication d’un dépôt où les mises à jour de sécurité sont activées, GitHub désactive automatiquement les Dependabot security updates pour la duplication. Vous pouvez ensuite décider d’activer les Dependabot security updates sur la duplication spécifique.
Si les mises à jour de sécurité ne sont pas activées pour votre dépôt et que vous ne savez pas pourquoi, essayez d’abord de les activer en utilisant les instructions fournies dans les sections procédurales ci-dessous. Si les mises à jour de sécurité ne fonctionnent toujours pas, vous pouvez contacter votre administrateur de site.
Gestion des Dependabot security updates pour vos dépôts
Vous pouvez également activer ou désactiver les Dependabot security updates pour tous les dépôts qualifiés appartenant à votre compte personnel ou votre organisation. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre compte personnel » ou « Gestion des paramètres de sécurité et d'analyse pour votre organisation ».
Vous pouvez aussi activer ou désactiver les Dependabot security updates pour un dépôt individuel.
Activation ou désactivation des Dependabot security updates pour un dépôt individuel
-
Dans votre instance GitHub Enterprise Server, accédez à la page principale du dépôt.
-
Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.
-
Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.
-
Sous « Sécurité et analyse du code », à droite de « Mises à jour de sécurité Dependabot », cliquez sur Activer pour activer la fonctionnalité ou sur Désactiver pour la désactiver.
Substitution du comportement par défaut avec un fichier de configuration
Vous pouvez remplacer le comportement par défaut de Dependabot security updates en ajoutant un fichier dependabot.yml
à votre référentiel.
Si vous avez uniquement besoin de correctifs de sécurité et que vous souhaitez exclure les mises à jour de version, vous pouvez définir open-pull-requests-limit
sur 0
pour empêcher les mises à jour de version pour un package-ecosystem
donné.
Pour plus d’informations sur les options de configuration disponibles pour les correctifs de sécurité, consultez « Options de configuration pour le fichier dependabot.yml ».
# Example configuration file that:
# - Has a private registry
# - Ignores lodash dependency
# - Disables version-updates
version: 2
registries:
example:
type: npm-registry
url: https://example.com
token: ${{secrets.NPM_TOKEN}}
updates:
- package-ecosystem: "npm"
directory: "/src/npm-project"
schedule:
interval: "daily"
# For Lodash, ignore all updates
ignore:
- dependency-name: "lodash"
# Disable version updates for npm dependencies
open-pull-requests-limit: 0
registries:
- example
Remarque : Pour que Dependabot utilise cette configuration pour les publications de sécurité, le directory
doit être le chemin d'accès aux fichiers manifestes, et vous ne devez pas spécifier un de target-branch
.