Configuration d’alertes Dependabot

Activez la création d’Dependabot alerts lorsqu'une nouvelle dépendance vulnérable est trouvée dans l’un de vos référentiels.

Qui peut utiliser cette fonctionnalité ?

  • Administrateurs du référentiel, propriétaires de l'organisation et personnes ayant un accès en écriture ou en maintenance
  • Utilisateurs et équipes disposant d’un accès explicite. Consultez Autoriser l'accès à l'alerte de sécurité.

Dans cet article

Lorsque Dependabot détecte les dépendances vulnérables dans un référentiel, elle génère des alertes. Pour plus d’informations, consultez « À propos des alertes Dependabot ».

Vous pouvez activer ou désactiver les Dependabot alerts pour :

  • Votre compte personnel
  • Votre dépôt
  • Votre organisation
  • Votre entreprise

Gestion des Dependabot alerts pour votre compte personnel

Vous pouvez activer ou désactiver les Dependabot alerts pour tous les dépôts appartenant à votre compte personnel.

          <a href="https://github.com/settings/security_analysis?ref_product=github&ref_type=engagement&ref_style=button" target="_blank" class="btn btn-primary mt-3 mr-3 no-underline">
          <span>Accédez à vos paramètres de sécurité</span> <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-link-external" aria-label="link external icon" role="img"><path d="M3.75 2h3.5a.75.75 0 0 1 0 1.5h-3.5a.25.25 0 0 0-.25.25v8.5c0 .138.112.25.25.25h8.5a.25.25 0 0 0 .25-.25v-3.5a.75.75 0 0 1 1.5 0v3.5A1.75 1.75 0 0 1 12.25 14h-8.5A1.75 1.75 0 0 1 2 12.25v-8.5C2 2.784 2.784 2 3.75 2Zm6.854-1h4.146a.25.25 0 0 1 .25.25v4.146a.25.25 0 0 1-.427.177L13.03 4.03 9.28 7.78a.751.751 0 0 1-1.042-.018.751.751 0 0 1-.018-1.042l3.75-3.75-1.543-1.543A.25.25 0 0 1 10.604 1Z"></path></svg></a>

Activation ou désactivation des Dependabot alerts pour des dépôts existants

  1. Sous « Advanced Security» , à droite de Dependabot alerts, cliquez sur Tout désactiver ou Tout activer.
  2. Si vous le souhaitez, pour activer Dependabot alerts par défaut pour les nouveaux référentiels que vous créez, dans la boîte de dialogue, sélectionnez « Activer par défaut pour de nouveaux référentiels ».
  3. Cliquez sur Désactiver les Dependabot alerts ou Activer les Dependabot alerts afin de désactiver ou d’activer les Dependabot alerts pour tous les dépôts que vous possédez.

Lorsque vous activez les Dependabot alerts pour des dépôts existants, les résultats s’affichent sur GitHub en quelques minutes.

Activation ou désactivation des Dependabot alerts pour les nouveaux dépôts

  1. Sous « Advanced Security », à droite de Dependabot alerts, sélectionnez Activer automatiquement pour les nouveaux référentiels.

Gestion des Dependabot alerts pour votre dépôt

Vous pouvez gérer les Dependabot alerts pour votre référentiel public, privé ou interne.

Par défaut, nous informons les personnes disposant d'autorisations d'écriture, de maintenance ou d'administration dans les référentiels affectés à propos des nouvelles Dependabot alerts. GitHub ne révèle jamais publiquement les dépendances non sécurisées pour un référentiel. Vous pouvez également rendre les Dependabot alerts visibles pour d’autres personnes ou équipes travaillant sur des référentiels dont vous êtes propriétaire ou sur lesquels vous disposez d’autorisations d’administrateur.

Si vous activez les fonctionnalités de sécurité et d’analyse, GitHub effectue une analyse en lecture seule sur votre dépôt.

Activation ou désactivation des Dependabot alerts pour un dépôt

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre référentiel, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.

  4. Sous « Advanced Security », à droite de Dependabot alerts, cliquez sur Activer pour activer les alertes ou Désactiver pour les désactiver.

Gestion des Dependabot alerts pour votre organisation

Vous pouvez activer Dependabot alerts pour tous les dépôts éligibles de votre organisation. Pour plus d’informations, consultez « À propos de l'activation des fonctionnalités de sécurité à grande échelle ».

Gérer les Dependabot alerts pour votre entreprise

Security configurations, qui sont des ensembles de paramètres de sécurité, vous permettent de gérer les Dependabot alerts pour votre entreprise. Vous pouvez configurer votre propre custom security configuration afin de définir les paramètres d’activation correspondant aux besoins spécifiques en matière de sécurité de votre entreprise. Consultez Création d’une configuration de sécurité personnalisée pour votre entreprise.

Gestion de Dependabot alerts à grande échelle à l’aide de règles

En outre, vous pouvez utiliser Règles de triage automatique de Dependabot pour gérer vos alertes à l’échelle, pour pouvoir ignorer automatiquement ou désactiver temporairement les alertes, et spécifier les alertes pour lesquelles vous souhaitez que Dependabot ouvre les demandes de tirage. Pour plus d’informations sur les différents types de règles de triage automatique et pour savoir si vos référentiels sont éligibles, consultez À propos des règles de triage automatique de Dependabot.