GitHub AE est actuellement en version limitée.

Activation de Dependabot pour votre entreprise

Dans cet article

Vous pouvez aussi autoriser les utilisateurs de votre entreprise à rechercher et corriger les vulnérabilités dans leurs dépendances de code en activant des Dependabot alerts.

Qui peut utiliser cette fonctionnalité

Enterprise owners can enable Dependabot.

À propos de Dependabot pour GitHub AE

Dependabot permet aux utilisateurs de votre entreprise de rechercher et corriger les vulnérabilités dans leurs dépendances.

Remarque : Dependabot alerts est actuellement en version bêta et sujette à modification.

Avec Dependabot alerts, GitHub identifie les dépendances vulnérables dans les dépôts et crée des alertes sur votre entreprise, en utilisant les données de GitHub Advisory Database et du service de graphe des dépendances.

Nous ajoutons des conseils à la GitHub Advisory Database à partir des sources suivantes :

Si vous connaissez une autre base de données à partir de laquelle nous devrions importer des avis, dites-le nous en ouvrant un problème dans https://github.com/github/advisory-database.

Une fois que vous avez activé les Dependabot alerts pour votre entreprise, les données de vulnérabilité sont synchronisées entre la GitHub Advisory Database et votre instance toutes les heures. Seuls les avis examinés par GitHub sont synchronisés. Pour plus d’informations, consultez « Exploration des avis de sécurité dans la base de données GitHub Advisory ».

Vous pouvez aussi choisir de synchroniser manuellement les données de vulnérabilité à n’importe quel moment. Pour plus d’informations, consultez « Consultation des données de vulnérabilité de votre entreprise ».

Remarque : Quand vous activez les Dependabot alerts, aucun code ni aucune information sur le code de votre entreprise ne sont chargés sur GitHub.com.

Quand votre entreprise reçoit des informations sur une vulnérabilité, elle identifie les dépôts de votre entreprise qui utilisent la version affectée de la dépendance et génère des Dependabot alerts. Vous pouvez choisir de notifier automatiquement les utilisateurs à propos des nouvelles Dependabot alerts.

Dans le cas des dépôts où les Dependabot alerts sont activées, l’analyse est déclenchée pour tout envoi (push) vers la branche par défaut qui contient un fichier manifeste ou un fichier de verrouillage. De plus, quand un nouvel enregistrement de vulnérabilité est ajouté à votre entreprise, GitHub AE analyse tous les dépôts existants de votre entreprise et génère des alertes les dépôts vulnérables. Pour plus d’informations, consultez « À propos des alertes Dependabot ».

Activation des Dependabot alerts

Avant de pouvoir activer les Dependabot alerts :

  1. Dans le coin supérieur droit de GitHub AE, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.

    Capture d’écran du menu déroulant qui s’affiche lorsque vous cliquez sur la photo de profil sur GitHub Enterprise Server. L'option "Paramètres de l'entreprise" est mise en évidence par un contour orange foncé.

  2. Dans la barre latérale du compte d’entreprise, cliquez sur GitHub Connect .

  3. Sous « Les dépôts peuvent être analysés pour rechercher les vulnérabilités », sélectionnez le menu déroulant, puis cliquez sur Activé sans notifications. Si vous le souhaitez, vous pouvez activer les alertes avec des notifications en cliquant sur Activé avec notifications.

Conseil : Nous vous recommandons de configurer les Dependabot alerts sans notifications pour les premiers jours afin d’éviter d’être surchargé d’e-mails. Après quelques jours, activez les notifications pour recevoir normalement les Dependabot alerts.