À propos de Dependabot pour GitHub AE
Dependabot permet aux utilisateurs de votre entreprise de rechercher et corriger les vulnérabilités dans leurs dépendances.
Remarque : Dependabot alerts est actuellement en version bêta et sujette à modification.
Avec Dependabot alerts, GitHub identifie les dépendances vulnérables dans les dépôts et crée des alertes sur votre entreprise, en utilisant les données de GitHub Advisory Database et du service de graphe des dépendances.
Nous ajoutons des conseils à la GitHub Advisory Database à partir des sources suivantes :
- Avis de sécurité signalés sur GitHub
- Base de données nationale des vulnérabilités (NVD) américaine
- Base de données npm Security advisories
- Base de données FriendsOfPHP
- Base de données Go Vulncheck
- Base de données Python Packaging Advisory
- Base de données Ruby Advisory
- Base de données RustSec Advisory
- Contributions de la communauté. Pour plus d’informations, consultez https://github.com/github/advisory-database/pulls.
Si vous connaissez une autre base de données à partir de laquelle nous devrions importer des avis, dites-le nous en ouvrant un problème dans https://github.com/github/advisory-database.
Une fois que vous avez activé les Dependabot alerts pour votre entreprise, les données de vulnérabilité sont synchronisées entre la GitHub Advisory Database et votre instance toutes les heures. Seuls les avis examinés par GitHub sont synchronisés. Pour plus d’informations, consultez « Exploration des avis de sécurité dans la base de données GitHub Advisory ».
Vous pouvez aussi choisir de synchroniser manuellement les données de vulnérabilité à n’importe quel moment. Pour plus d’informations, consultez « Consultation des données de vulnérabilité de votre entreprise ».
Remarque : Quand vous activez les Dependabot alerts, aucun code ni aucune information sur le code de votre entreprise ne sont chargés sur GitHub.com.
Quand votre entreprise reçoit des informations sur une vulnérabilité, elle identifie les dépôts de votre entreprise qui utilisent la version affectée de la dépendance et génère des Dependabot alerts. Vous pouvez choisir de notifier automatiquement les utilisateurs à propos des nouvelles Dependabot alerts.
Dans le cas des dépôts où les Dependabot alerts sont activées, l’analyse est déclenchée pour tout envoi (push) vers la branche par défaut qui contient un fichier manifeste ou un fichier de verrouillage. De plus, quand un nouvel enregistrement de vulnérabilité est ajouté à votre entreprise, GitHub AE analyse tous les dépôts existants de votre entreprise et génère des alertes les dépôts vulnérables. Pour plus d’informations, consultez « À propos des alertes Dependabot ».
Activation des Dependabot alerts
Avant de pouvoir activer les Dependabot alerts :
- Vous devez activer GitHub Connect. Pour plus d’informations, consultez « Gestion de GitHub Connect ».
-
Dans le coin supérieur droit de GitHub AE, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.
-
Dans la barre latérale du compte d’entreprise, cliquez sur GitHub Connect .
-
Sous « Les dépôts peuvent être analysés pour rechercher les vulnérabilités », sélectionnez le menu déroulant, puis cliquez sur Activé sans notifications. Si vous le souhaitez, vous pouvez activer les alertes avec des notifications en cliquant sur Activé avec notifications.
Conseil : Nous vous recommandons de configurer les Dependabot alerts sans notifications pour les premiers jours afin d’éviter d’être surchargé d’e-mails. Après quelques jours, activez les notifications pour recevoir normalement les Dependabot alerts.