GitHub AE est actuellement en version limitée.

À propos des alertes Dependabot

Dans cet article

GitHub AE envoie des Dependabot alerts lorsque nous détectons que votre référentiel utilise une dépendance vulnérable.

Les Dependabot alerts sont gratuites à l’utilisation pour les référentiels (appartenant à l’utilisateur et appartenant à l’organisation) sur GitHub AE.

À propos des Dependabot alerts

Les Dependabot alerts vous indiquent que votre code dépend d’un package non sécurisé.

Si votre code dépend d’un package qui a une vulnérabilité de sécurité, cela peut entraîner un éventail de problèmes pour votre projet ou les personnes qui l’utilisent. Vous devez mettre à niveau vers une version sécurisée du package dès que possible.

Détection des dépendances non sécurisées

Remarque : Dependabot alerts est actuellement en version bêta et sujette à modification.

Dependabot effectue une analyse de la branche par défaut de votre référentiel pour détecter les dépendances non sécurisées et envoie des Dependabot alerts lorsque :

  • Les nouvelles données d’avis sont synchronisées sur votre entreprise toutes les heures à partir de GitHub.com. Pour plus d’informations, consultez « Exploration des avis de sécurité dans la base de données GitHub Advisory ».

    Remarque : Seuls les avis qui ont été révisés par GitHub déclenchent des Dependabot alerts.

  • Le graphe des dépendances d’un dépôt change. C’est par exemple le cas quand un contributeur pousse (push) un commit pour changer les packages ou les versions dont il dépend. Pour plus d’informations, consultez « À propos du graphe de dépendances ».

Remarque : Dependabot n’analyse pas les référentiels archivés.

En outre, GitHub peut passer en revue les dépendances ajoutées, mises à jour ou supprimées dans une demande de tirage faite sur la branche par défaut d’un dépôt, et marquer tous les changements qui réduiraient la sécurité de votre projet. Ceci vous permet de repérer et de gérer les dépendances vulnérables avant, et non pas après, qu’ils atteignent votre codebase. Pour plus d’informations, consultez « Révision des changements de dépendances dans une demande de tirage ».

Étant donné que les Dependabot alerts reposent sur le graphe des dépendances, les écosystèmes pris en charge par les Dependabot alerts sont les mêmes que ceux pris en charge par le graphe des dépendances. Pour obtenir la liste de ces écosystèmes, consultez « À propos du graphe de dépendances ».

Remarque : Il est important de tenir à jour vos fichiers manifeste et de verrouillage. Si le graphe de dépendances ne reflète pas précisément vos dépendances et versions actuelles, vous pouvez manquer des alertes pour les dépendances non sécurisées que vous utilisez. Vous pouvez également obtenir des alertes pour des dépendances que vous n’utilisez plus.

Dependabot ne créera Dependabot alerts que pour les GitHub Actions vulnérables qui utilisent le contrôle de version sémantique. Vous ne recevrez pas d'alertes pour une action vulnérable qui utilise le contrôle de version SHA. Si vous utilisez GitHub Actions avec le contrôle de version SHA, nous vous recommandons d'activer Dependabot version updates pour votre référentiel ou votre organisation afin que les actions que vous utilisez soient mises à jour avec les dernières versions.

Configuration de Dependabot alerts

Les propriétaires d’entreprise doivent activer les Dependabot alerts pour votre entreprise pour que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».

Quand GitHub AE identifie une dépendance vulnérable, nous générons une alerte Dependabot et l’affichons dans le graphe de dépendances du dépôt. L’alerte inclut des informations sur une version corrigée.

GitHub AE peut également informer les chargés de maintenance des dépôts affectés à propos des nouvelles alertes en fonction de leurs préférences de notification. Pour plus d’informations, consultez « Configuration de notifications pour les alertes Dependabot ».

Remarque : Les fonctions de sécurité de GitHub AE ne prétendent pas détecter toutes les vulnérabilités. Nous maintenons activement la GitHub Advisory Database et générons des alertes avec les informations les plus récentes. Toutefois, nous ne pouvons pas tout intercepter ou vous informer des vulnérabilités connues dans un délai garanti. Ces fonctionnalités ne se substituent pas à un examen par des humains de chaque dépendance pour les vulnérabilités potentielles ou tout autre problème, et nous vous recommandons de consulter un service de sécurité ou d’effectuer un examen minutieux des dépendances quand cela est nécessaire.

Accès aux Dependabot alerts

Vous pouvez voir toutes les alertes qui affectent un projet particulier dans le graphe de dépendances du dépôt. Pour plus d’informations, consultez « Affichage et mise à jour des alertes Dependabot ».

Par défaut, nous informons les personnes disposant des autorisations d’accès en administration dans les référentiels concernés des nouvelles Dependabot alerts.

Vous pouvez choisir la méthode de remise des notifications, ainsi que la fréquence à laquelle elles sont envoyées. Pour plus d’informations, consultez « Configuration de notifications pour les alertes Dependabot ».

Vous pouvez également voir toutes les Dependabot alerts qui correspondent à un avis particulier dans la GitHub Advisory Database. Pour plus d’informations, consultez « Exploration des avis de sécurité dans la base de données GitHub Advisory ».