L’onglet Dependabot alerts de votre dépôt liste toutes les Dependabot alerts ouvertes et fermées. Vous pouvez filtrer les alertes par package, écosystème ou manifeste. Vous pouvez trier la liste des alertes. Cliquez dans des alertes spécifiques pour plus de détails. Vous pouvez également ignorer ou rouvrir des alertes. Pour plus d’informations, consultez « À propos des alertes Dependabot ».
Vous pouvez filtrer et trier des Dependabot alerts en utilisant divers filtres et options de tri disponibles dans l’interface utilisateur. Pour plus d’informations, consultez « Hiérarchisation des Dependabot alerts » ci-dessous.
Vous pouvez également auditer les actions effectuées en réponse aux alertes Dependabot. Pour plus d’informations, consultez « Audit des alertes de sécurité ».
Hiérarchisation des Dependabot alerts
GitHub vous permet d’établir des priorités pour corriger les Dependabot alerts.
Vous pouvez trier et filtrer les Dependabot alerts en tapant des filtres sous forme de paires key:value dans la barre de recherche.
| Option | Description | Exemple |
|---|---|---|
ecosystem | Affiche des alertes pour l’écosystème sélectionné | Utiliser ecosystem:npm pour afficher des Dependabot alerts pour npm |
has | Affiche les alertes répondant aux critères de filtre sélectionnés | Utiliser has:patch pour afficher les alertes liées aux avis qui comportent un correctif |
is | Affiche les alertes en fonction de leur état | Utiliser is:open pour afficher les alertes ouvertes |
manifest | Affiche les alertes du manifeste sélectionné | Utiliser manifest:webwolf/pom.xml pour afficher les alertes sur le fichier pom.xml de l’application webwolf |
package | Affiche les alertes du package sélectionné | Utiliser package:django pour afficher les alertes pour django |
resolution | Affiche les alertes de l’état de résolution sélectionné | Utiliser resolution:no-bandwidth pour afficher les alertes précédemment parquées en raison d’un manque de ressources ou d’un délai de correction |
repo | Affiche les alertes en fonction du dépôt auquel elles sont liées Notez que ce filtre est disponible uniquement pour la vue d’ensemble de la sécurité. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ». | Utiliser repo:octocat-repo pour afficher les alertes dans le dépôt appelé octocat-repo |
severity | Affiche les alertes en fonction de leur niveau de gravité | Utiliser severity:high pour afficher les alertes dont le niveau de gravité est élevé |
En plus des filtres disponibles via la barre de recherche, vous pouvez trier et filtrer les Dependabot alerts à l’aide des menus déroulants situés en haut de la liste d’alertes.
La barre de recherche permet également la recherche en texte intégral d’alertes et des avis de sécurité associés. Vous pouvez rechercher une partie d’un nom ou d’une description d’avis de sécurité pour retourner les alertes de votre dépôt qui se rapportent à cet avis de sécurité. Par exemple, la recherche de yaml.load() API could execute arbitrary code retourne les Dependabot alerts liées à « PyYAML désérialise de manière non sécurisée les chaînes YAML entraînant une exécution arbitraire du code », car la chaîne de recherche apparaît dans la description de l’avis.
Affichage Dependabot alerts
- Dans votre entreprise, accédez à la page principale du dépôt. 1. Sous le nom du dépôt, cliquez sur Sécurité.
- Pour filtrer les alertes, vous pouvez sélectionner un filtre dans un menu déroulant, puis cliquer sur le filtre que vous souhaitez appliquer. Vous pouvez également taper des filtres dans la barre de recherche. Pour plus d’informations sur le filtrage et le tri des alertes, consultez « Hiérarchisation des Dependabot alerts ».
- Cliquez sur l’alerte que vous voulez visualiser.
Examen et résolution des alertes
Il est important de s’assurer que toutes vos dépendances sont exemptes de toute faille de sécurité. Quand Dependabot détecte des vulnérabilités dans vos dépendances, vous devez évaluer le niveau d’exposition de votre projet et déterminer les étapes de correction à suivre pour sécuriser votre application.
Dans les cas où une version corrigée n’est pas disponible ou si vous ne pouvez pas effectuer de mise à jour vers la version sécurisée, Dependabot partage des informations supplémentaires pour vous aider à déterminer les étapes suivantes. Quand vous cliquez pour afficher une alerte Dependabot, vous pouvez voir les détails complets de l’avis de sécurité pour la dépendance, y compris les fonctions affectées. Vous pouvez ensuite vérifier si votre code appelle les fonctions impactées. Ces informations peuvent vous aider à mieux évaluer votre niveau de risque et à déterminer les solutions de contournement ou si vous êtes en mesure d’accepter le risque représenté par le conseil de sécurité.
Correction des dépendances vulnérables
-
Affichez les détails d’une alerte. Pour plus d’informations, consultez « Affichage Dependabot alerts » (ci-dessus).
-
Vous pouvez utiliser les informations de la page pour décider vers quelle version de la dépendance mettre à niveau et créer une demande de tirage vers le manifeste ou verrouiller le fichier sur une version sécurisée.
-
Quand vous êtes prêt à mettre à jour votre dépendance et à résoudre la vulnérabilité, fusionnez la demande de tirage.
Ignorer les Dependabot alerts
Conseil : Vous ne pouvez ignorer que les alertes ouvertes.
Si vous planifiez un travail de grande ampleur pour mettre à niveau une dépendance ou si vous décidez qu’une alerte n’a pas besoin d’être corrigée, vous pouvez ignorer l’alerte. Ignorer les alertes que vous avez déjà évaluées facilite le tri des nouvelles alertes à mesure qu’elles apparaissent.
-
Affichez les détails d’une alerte. Pour plus d’informations, consultez « Affichage des dépendances vulnérables » (ci-dessus).
-
Sélectionnez la liste déroulante « Ignorer », puis cliquez sur une raison pour ignorer l’alerte. Les alertes ignorées non corrigées peuvent être rouvertes ultérieurement.
Affichage et mise à jour des alertes fermées
Vous pouvez afficher toutes les alertes ouvertes et rouvrir les alertes qui ont été précédemment ignorées. Les alertes fermées qui ont déjà été corrigées ne peuvent pas être rouvertes.
-
Dans votre entreprise, accédez à la page principale du dépôt. 1. Sous le nom du dépôt, cliquez sur Sécurité.
-
Pour afficher simplement les alertes fermées, cliquez sur Fermé.
-
Cliquez sur l’alerte que vous voulez visualiser ou mettre à jour.
-
Éventuellement, si l’alerte a été ignorée et que vous souhaitez la rouvrir, cliquez sur Rouvrir. Les alertes qui ont déjà été corrigées ne peuvent pas être rouvertes.
Examen des journaux d’audit pour Dependabot alerts
Lorsqu’un membre de votre organisation ou d’entreprise effectue une action liée à Dependabot alerts, vous pouvez examiner les actions dans le journal d’audit. Pour plus d’informations sur l’accès au journal, consultez « Examen du journal d’audit de votre organisation » et « Accès au journal d’audit de votre entreprise ».
Les événements de votre journal d’audit pour Dependabot alerts incluent des détails tels que qui a effectué l’action, ce qu’était l’action et quand l’action a été effectuée. Pour plus d’informations sur les actions Dependabot alerts, consultez la catégorie repository_vulnerability_alert dans « Événements du journal d’audit pour votre organisation » et « Événements du journal d’audit pour votre entreprise ».