Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.
GitHub AE est actuellement en version limitée.

Affichage et mise à jour des alertes Dependabot

Si GitHub AE découvre des dépendances non sécurisées dans votre projet, vous pouvez afficher des détails sur l’onglet Alertes Dependabot de votre référentiel. Ensuite, vous pouvez mettre à jour votre projet pour résoudre ou ignorer l’alerte.

Qui peut utiliser cette fonctionnalité

Repository administrators and organization owners can view and update dependencies, as well as users and teams with explicit access.

L’onglet Dependabot alerts de votre dépôt liste toutes les Dependabot alerts ouvertes et fermées. Vous pouvez filtrer les alertes par package, écosystème ou manifeste. Vous pouvez trier la liste des alertes. Cliquez dans des alertes spécifiques pour plus de détails. Vous pouvez également ignorer ou rouvrir des alertes. Pour plus d’informations, consultez « À propos des alertes Dependabot ».

Vous pouvez filtrer et trier des Dependabot alerts en utilisant divers filtres et options de tri disponibles dans l’interface utilisateur. Pour plus d’informations, consultez « Hiérarchisation des Dependabot alerts » ci-dessous.

Vous pouvez également auditer les actions effectuées en réponse aux alertes Dependabot. Pour plus d’informations, consultez « Audit des alertes de sécurité ».

Hiérarchisation des Dependabot alerts

GitHub vous permet d’établir des priorités pour corriger les Dependabot alerts.

Vous pouvez trier et filtrer les Dependabot alerts en tapant des filtres sous forme de paires key:value dans la barre de recherche.

OptionDescriptionExemple
ecosystemAffiche des alertes pour l’écosystème sélectionnéUtiliser ecosystem:npm pour afficher des Dependabot alerts pour npm
hasAffiche les alertes répondant aux critères de filtre sélectionnésUtiliser has:patch pour afficher les alertes liées aux avis qui comportent un correctif
isAffiche les alertes en fonction de leur étatUtiliser is:open pour afficher les alertes ouvertes
manifestAffiche les alertes du manifeste sélectionnéUtiliser manifest:webwolf/pom.xml pour afficher les alertes sur le fichier pom.xml de l’application webwolf
packageAffiche les alertes du package sélectionnéUtiliser package:django pour afficher les alertes pour django
resolutionAffiche les alertes de l’état de résolution sélectionnéUtiliser resolution:no-bandwidth pour afficher les alertes précédemment parquées en raison d’un manque de ressources ou d’un délai de correction
repoAffiche les alertes en fonction du dépôt auquel elles sont liées
Notez que ce filtre est disponible uniquement pour la vue d’ensemble de la sécurité. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ».
Utiliser repo:octocat-repo pour afficher les alertes dans le dépôt appelé octocat-repo
severityAffiche les alertes en fonction de leur niveau de gravitéUtiliser severity:high pour afficher les alertes dont le niveau de gravité est élevé

En plus des filtres disponibles via la barre de recherche, vous pouvez trier et filtrer les Dependabot alerts à l’aide des menus déroulants situés en haut de la liste d’alertes.

La barre de recherche permet également la recherche en texte intégral d’alertes et des avis de sécurité associés. Vous pouvez rechercher une partie d’un nom ou d’une description d’avis de sécurité pour retourner les alertes de votre dépôt qui se rapportent à cet avis de sécurité. Par exemple, la recherche de yaml.load() API could execute arbitrary code retourne les Dependabot alerts liées à « PyYAML désérialise de manière non sécurisée les chaînes YAML entraînant une exécution arbitraire du code », car la chaîne de recherche apparaît dans la description de l’avis.

Affichage Dependabot alerts

  1. Dans votre entreprise, accédez à la page principale du dépôt. 1. Sous le nom du dépôt, cliquez sur Sécurité. Onglet Sécurité 1. Dans la barre latérale « Alertes de vulnérabilité » de la vue d’ensemble de la sécurité, cliquez sur Dependabot . Si cette option est absente, cela signifie que vous n'avez pas accès aux alertes de sécurité et que vous devez y avoir accès. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ».  Capture d’écran de la vue d’ensemble de la sécurité, avec l’onglet « Dependabot » mis en évidence avec un contour orange foncé.
  2. Pour filtrer les alertes, vous pouvez sélectionner un filtre dans un menu déroulant, puis cliquer sur le filtre que vous souhaitez appliquer. Vous pouvez également taper des filtres dans la barre de recherche. Pour plus d’informations sur le filtrage et le tri des alertes, consultez « Hiérarchisation des Dependabot alerts ».
  3. Cliquez sur l’alerte que vous voulez visualiser.

Examen et résolution des alertes

Il est important de s’assurer que toutes vos dépendances sont exemptes de toute faille de sécurité. Quand Dependabot détecte des vulnérabilités dans vos dépendances, vous devez évaluer le niveau d’exposition de votre projet et déterminer les étapes de correction à suivre pour sécuriser votre application.

Dans les cas où une version corrigée n’est pas disponible ou si vous ne pouvez pas effectuer de mise à jour vers la version sécurisée, Dependabot partage des informations supplémentaires pour vous aider à déterminer les étapes suivantes. Quand vous cliquez pour afficher une alerte Dependabot, vous pouvez voir les détails complets de l’avis de sécurité pour la dépendance, y compris les fonctions affectées. Vous pouvez ensuite vérifier si votre code appelle les fonctions impactées. Ces informations peuvent vous aider à mieux évaluer votre niveau de risque et à déterminer les solutions de contournement ou si vous êtes en mesure d’accepter le risque représenté par le conseil de sécurité.

Correction des dépendances vulnérables

  1. Affichez les détails d’une alerte. Pour plus d’informations, consultez « Affichage Dependabot alerts » (ci-dessus).

  2. Vous pouvez utiliser les informations de la page pour décider vers quelle version de la dépendance mettre à niveau et créer une demande de tirage vers le manifeste ou verrouiller le fichier sur une version sécurisée.

  3. Quand vous êtes prêt à mettre à jour votre dépendance et à résoudre la vulnérabilité, fusionnez la demande de tirage.

Ignorer les Dependabot alerts

Conseil : Vous ne pouvez ignorer que les alertes ouvertes.

Si vous planifiez un travail de grande ampleur pour mettre à niveau une dépendance ou si vous décidez qu’une alerte n’a pas besoin d’être corrigée, vous pouvez ignorer l’alerte. Ignorer les alertes que vous avez déjà évaluées facilite le tri des nouvelles alertes à mesure qu’elles apparaissent.

  1. Affichez les détails d’une alerte. Pour plus d’informations, consultez « Affichage des dépendances vulnérables » (ci-dessus).

  2. Sélectionnez la liste déroulante « Ignorer », puis cliquez sur une raison pour ignorer l’alerte. Les alertes ignorées non corrigées peuvent être rouvertes ultérieurement.

    Capture d’écran de la page d’une alerte Dependabot, avec la liste déroulante « Ignorer » et ses options mises en évidence avec un encadré orange foncé.

Affichage et mise à jour des alertes fermées

Vous pouvez afficher toutes les alertes ouvertes et rouvrir les alertes qui ont été précédemment ignorées. Les alertes fermées qui ont déjà été corrigées ne peuvent pas être rouvertes.

  1. Dans votre entreprise, accédez à la page principale du dépôt. 1. Sous le nom du dépôt, cliquez sur Sécurité. Onglet Sécurité 1. Dans la barre latérale « Alertes de vulnérabilité » de la vue d’ensemble de la sécurité, cliquez sur Dependabot . Si cette option est absente, cela signifie que vous n'avez pas accès aux alertes de sécurité et que vous devez y avoir accès. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ».  Capture d’écran de la vue d’ensemble de la sécurité, avec l’onglet « Dependabot » mis en évidence avec un contour orange foncé.

  2. Pour afficher simplement les alertes fermées, cliquez sur Fermé.

  3. Cliquez sur l’alerte que vous voulez visualiser ou mettre à jour.

  4. Éventuellement, si l’alerte a été ignorée et que vous souhaitez la rouvrir, cliquez sur Rouvrir. Les alertes qui ont déjà été corrigées ne peuvent pas être rouvertes.

    Capture d’écran montrant une alerte Dependabot fermée. Un bouton intitulé « Rouvrir » est mis en évidence avec un contour orange foncé.

Examen des journaux d’audit pour Dependabot alerts

Lorsqu’un membre de votre organisation ou d’entreprise effectue une action liée à Dependabot alerts, vous pouvez examiner les actions dans le journal d’audit. Pour plus d’informations sur l’accès au journal, consultez « Examen du journal d’audit de votre organisation » et « Accès au journal d’audit de votre entreprise ».

Les événements de votre journal d’audit pour Dependabot alerts incluent des détails tels que qui a effectué l’action, ce qu’était l’action et quand l’action a été effectuée. Pour plus d’informations sur les actions Dependabot alerts, consultez la catégorie repository_vulnerability_alert dans « Événements du journal d’audit pour votre organisation » et « Événements du journal d’audit pour votre entreprise ».