L’onglet Dependabot alerts de votre dépôt liste toutes les Dependabot alerts ouvertes et fermées. Vous pouvez filtrer les alertes par package, écosystème ou manifeste. Vous pouvez trier la liste des alertes. Cliquez dans des alertes spécifiques pour obtenir plus de détails. Vous pouvez également ignorer ou rouvrir des alertes. Pour plus d’informations, consultez « À propos des alertes Dependabot ».
Vous pouvez filtrer et trier des Dependabot alerts en utilisant divers filtres et options de tri disponibles dans l’interface utilisateur. Pour plus d’informations, consultez « Hiérarchisation des Dependabot alerts » ci-dessous.
Vous pouvez également auditer les actions effectuées en réponse aux alertes Dependabot. Pour plus d’informations, consultez « Audit des alertes de sécurité ».
Hiérarchisation des Dependabot alerts
GitHub vous permet d’établir des priorités pour corriger les Dependabot alerts.
Affichage Dependabot alerts
Vous pouvez afficher toutes les Dependabot alerts ouvertes et fermées et les Dependabot security updates correspondantes dans l’onlget Dependabot alerts de votre référentiel. Vous pouvez trier et filtrer Dependabot alerts en sélectionnant un filtre dans le menu déroulant.
Pour afficher des résumés d’alertes pour tous ou un sous-ensemble de référentiels appartenant à votre organisation, utilisez la vue d’ensemble de la sécurité. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ».
- Dans votre entreprise, accédez à la page principale du dépôt.
- Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.
- Dans la barre latérale « Alertes de vulnérabilité » de la vue d’ensemble de la sécurité, cliquez sur Dependabot . Si cette option est absente, cela signifie que vous n'avez pas accès aux alertes de sécurité et que vous devez y avoir accès. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ».
- Pour filtrer les alertes, vous pouvez sélectionner un filtre dans un menu déroulant, puis cliquer sur le filtre que vous souhaitez appliquer. Vous pouvez également taper des filtres dans la barre de recherche. Pour plus d’informations sur le filtrage et le tri des alertes, consultez « Hiérarchisation des Dependabot alerts ».
- Cliquez sur l’alerte que vous voulez visualiser.
Examen et résolution des alertes
Il est important de s’assurer que toutes vos dépendances sont exemptes de toute faille de sécurité. Quand Dependabot détecte des vulnérabilités dans vos dépendances, vous devez évaluer le niveau d’exposition de votre projet et déterminer les étapes de correction à suivre pour sécuriser votre application.
Dans les cas où une version corrigée n’est pas disponible ou si vous ne pouvez pas effectuer de mise à jour vers la version sécurisée, Dependabot partage des informations supplémentaires pour vous aider à déterminer les étapes suivantes. Quand vous cliquez pour afficher une alerte Dependabot, vous pouvez voir les détails complets de l’avis de sécurité pour la dépendance, y compris les fonctions affectées. Vous pouvez ensuite vérifier si votre code appelle les fonctions impactées. Ces informations peuvent vous aider à mieux évaluer votre niveau de risque et à déterminer les solutions de contournement ou si vous êtes en mesure d’accepter le risque représenté par le conseil de sécurité.
Correction des dépendances vulnérables
-
Affichez les détails d’une alerte. Pour plus d’informations, consultez « Affichage Dependabot alerts » (ci-dessus).
-
Vous pouvez utiliser les informations de la page pour décider vers quelle version de la dépendance mettre à niveau et créer une demande de tirage vers le manifeste ou verrouiller le fichier sur une version sécurisée.
-
Quand vous êtes prêt à mettre à jour votre dépendance et à résoudre la vulnérabilité, fusionnez la demande de tirage.
Ignorer les Dependabot alerts
Conseil : Vous ne pouvez ignorer que les alertes ouvertes.
Si vous planifiez un travail de grande ampleur pour mettre à niveau une dépendance ou si vous décidez qu’une alerte n’a pas besoin d’être corrigée, vous pouvez ignorer l’alerte. Ignorer les alertes que vous avez déjà évaluées facilite le tri des nouvelles alertes à mesure qu’elles apparaissent.
-
Affichez les détails d’une alerte. Pour plus d’informations, consultez « Affichage des dépendances vulnérables » (ci-dessus).
-
Sélectionnez la liste déroulante « Ignorer », puis cliquez sur une raison pour ignorer l’alerte. Les alertes ignorées non corrigées peuvent être rouvertes ultérieurement.
Affichage et mise à jour des alertes fermées
Vous pouvez afficher toutes les alertes ouvertes et rouvrir les alertes qui ont été précédemment ignorées. Les alertes fermées qui ont déjà été corrigées ne peuvent pas être rouvertes.
-
Dans votre entreprise, accédez à la page principale du dépôt.
-
Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.
-
Dans la barre latérale « Alertes de vulnérabilité » de la vue d’ensemble de la sécurité, cliquez sur Dependabot . Si cette option est absente, cela signifie que vous n'avez pas accès aux alertes de sécurité et que vous devez y avoir accès. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ».
-
Pour afficher simplement les alertes fermées, cliquez sur Fermé.
-
Cliquez sur l’alerte que vous voulez visualiser ou mettre à jour.
-
Éventuellement, si l’alerte a été ignorée et que vous souhaitez la rouvrir, cliquez sur Rouvrir. Les alertes qui ont déjà été corrigées ne peuvent pas être rouvertes.
Examen des journaux d’audit pour Dependabot alerts
Lorsqu’un membre de votre organisation ou d’entreprise effectue une action liée à Dependabot alerts, vous pouvez examiner les actions dans le journal d’audit. Pour plus d’informations sur l’accès au journal, consultez « Examen du journal d’audit de votre organisation » et « Accès au journal d’audit de votre entreprise ».
Les événements de votre journal d’audit pour Dependabot alerts incluent des détails tels que qui a effectué l’action, ce qu’était l’action et quand l’action a été effectuée. Pour plus d’informations sur les actions Dependabot alerts, consultez la catégorie repository_vulnerability_alert
dans « Événements du journal d’audit pour votre organisation » et « Événements du journal d’audit pour votre entreprise ».