À propos des alertes Dependabot

Dependabot alerts vous aident à trouver et à corriger les dépendances vulnérables avant qu’elles ne deviennent des risques de sécurité.

Qui peut utiliser cette fonctionnalité ?

Dependabot alerts sont disponibles pour les dépôts appartenant à l'organisation ou à l’utilisateur.

Dans cet article

Le logiciel s’appuie souvent sur des packages provenant de différentes sources, créant des relations de dépendances qui peuvent inconsciemment introduire des vulnérabilités de sécurité. Lorsque votre code dépend de packages avec des vulnérabilités de sécurité connues, vous devenez une cible pour les attaquants qui cherchent à exploiter votre système, ce qui peut obtenir l’accès à votre code, vos données, vos clients ou vos contributeurs. Dependabot alerts vous avertit des dépendances vulnérables afin de pouvoir effectuer une mise à niveau vers des versions sécurisées et protéger votre projet.

Quand Dependabot envoie des alertes

Dependabot analyse la branche par défaut de votre référentiel et envoie des alertes quand :

  • Une nouvelle vulnérabilité est ajoutée à la GitHub Advisory Database
  • Votre graphe des dépendances change (par exemple, lorsque vous poussez des commits qui mettent à jour des packages ou des versions)

Pour les écosystèmes pris en charge, consultez Écosystèmes de packages pris en charge pour le graphe des dépendances.

Comprendre les alertes

Lorsque GitHub détecte une dépendance vulnérable, une alerte Dependabot s’affiche dans l’onglet Sécurité et le graphe de dépendance du référentiel. Chaque alerte inclut :

  • Lien vers le fichier concerné
  • Détails sur la vulnérabilité et sa gravité
  • Informations sur une version fixe (le cas échéant)

Pour plus d’informations sur l’affichage et la gestion des alertes, consultez Affichage et mise à jour des alertes Dependabot.

Activation des alertes

Les administrateurs de dépôts et les propriétaires d’organisations peuvent activer les Dependabot alerts pour leurs dépôts et leurs organisations. Lorsque cette option est activée, GitHub génère immédiatement le graphique de dépendances et crée des alertes pour toutes les dépendances vulnérables qu’il identifie. Les administrateurs de référentiel peuvent accorder l’accès à d’autres personnes ou équipes.

Consultez Configuration d’alertes Dependabot.

Notifications pour les alertes

Par défaut, GitHub envoie des notifications par e-mail concernant de nouvelles alertes aux personnes qui remplissent les deux conditions suivantes :

  • Disposer d’autorisations d’écriture, de maintenance ou d’administrateur dans un référentiel
  • Surveillez le référentiel et avez activé les notifications pour les alertes de sécurité ou pour toutes les activités sur le référentiel

Vous pouvez remplacer le comportement par défaut en choisissant le type de notifications à recevoir ou en désactivant complètement les notifications dans la page paramètres de vos notifications utilisateur à l’adresse https://github.com/settings/notifications.

Quelles que soient vos préférences de notification, lorsque Dependabot est activé pour la première fois, GitHub n’envoie pas de notifications pour toutes les dépendances vulnérables trouvées dans votre référentiel. Au lieu de cela, vous recevrez des notifications pour les nouvelles dépendances vulnérables identifiées après l’activation de Dependabot, si vos préférences de notification l’autorisent.

Si vous vous inquiétez de recevoir trop de notifications, nous vous recommandons d’utiliser Règles de triage automatique de Dependabot pour ignorer automatiquement les alertes à faible risque. Les règles sont appliquées avant l’envoi des notifications d’alerte. Par conséquent, les alertes qui sont automatiquement ignorées lors de leur création n’envoient pas de notifications. Consultez À propos des règles de triage automatique de Dependabot.

Vous pouvez également opter pour le résumé hebdomadaire par e-mail, ou même désactiver complètement les notifications tout en conservant Dependabot alerts activé.

Limites

Dependabot alerts présentent certaines limitations :

  • Les alertes ne peuvent pas intercepter chaque problème de sécurité. Passez toujours en revue vos dépendances et conservez le manifeste et les fichiers de verrouillage à jour pour une détection précise.
  • De nouvelles vulnérabilités peuvent prendre du temps à apparaître dans les GitHub Advisory Database et déclencher des alertes.
  • Seuls les avis examinés par GitHub déclenchent des alertes.
  • Dependabot n’analyse pas les dépôts archivés.
  • Dependabot ne génère pas d’alertes pour les programmes malveillants.
  • Pour GitHub Actions, Dependabot alerts ne sont générés que pour les actions utilisant le versionnage sémantique, pas le versionnage SHA.

GitHub ne divulgue jamais publiquement les vulnérabilités d’un référentiel.

Lectures complémentaires

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates)

  •         [AUTOTITLE](/code-security/getting-started/auditing-security-alerts)