À propos des Règles de triage automatique de Dependabot
Règles de triage automatique de Dependabot vous permettent d’instruire Dependabot pour trier automatiquement les Dependabot alerts et les Dependabot malware alerts. Vous pouvez utiliser Règles de triage automatique pour :
- Ignorer automatiquement ou reporter certaines alertes
- Spécifiez les Dependabot alerts pour lesquels vous souhaitez que Dependabot ouvre des demandes de tirage.
Les règles sont appliquées avant l’envoi des notifications d’alerte. Par conséquent, l’activation des règles qui ignorent automatiquement les alertes à faible risque permet de réduire le bruit des notifications.
Il existe deux types de Règles de triage automatique de Dependabot :
- Présélections GitHub
- Règles de triage automatique personnalisées
À propos des Présélections GitHub
Présélections GitHub sont des règles sélectionnées par GitHub disponibles pour tous les dépôts.
Écarter les problèmes à faible impact pour les dépendances réservées au développement
La règle Dismiss low impact issues for development-scoped dependencies est une règle prédéfinie de GitHub qui rejette automatiquement certains types de vulnérabilités détectées dans des dépendances npm utilisées en phase de développement. Ces alertes couvrent les cas qui ressemblent à de fausses alarmes pour la plupart des développeurs en raison des vulnérabilités associées :
- Sont peu susceptibles d’être exploitables dans un environnement de développement (hors production ou de runtime).
- Peuvent être liées à des problèmes de gestion des ressources, de programmation et de logique, et de divulgation d’informations.
- Au pire, ont des effets limités comme des builds lentes ou des tests longs.
- Ne sont pas révélatrices de problèmes en production.
La règle est activée par défaut pour les dépôts publics et peut être activée manuellement pour les dépôts privés. Pour obtenir des instructions, consultez Activation de la Dismiss low impact issues for development-scoped dependencies règle pour votre dépôt privé.
Pour plus d’informations sur les critères utilisés par la règle, consultez Énumérateurs de failles courantes utilisés par les règles Dependabot prédéfinies de GitHub.
Ignorer les alertes de programmes malveillants du paquet
La Dismiss package malware alerts règle est un GitHub prédéfini qui ignore automatiquement les alertes qui signalent toutes les versions d’un package comme malveillantes. Si votre projet dépend d’un package interne portant le même écosystème et le même nom qu’un package public malveillant, Dependabot peut générer une alerte false positive, que la règle ignore automatiquement.
Important
N’oubliez pas que si un contributeur ajoute une dépendance réellement malveillante dans toutes les versions, cette règle ignore automatiquement l’alerte associée.
La règle Dismiss package malware alerts est désactivée par défaut, mais peut être activée pour tout dépôt utilisant Dependabot malware alerts.
À propos des Règles de triage automatique personnalisées
Remarque
Règles de triage automatique personnalisées pour Dependabot alerts sont disponibles sur les référentiels publics et sur tous les référentiels appartenant à l’organisation dans GitHub Team avec GitHub Code Security activé.
Grâce aux Règles de triage automatique personnalisées, vous pouvez créer vos propres règles pour ignorer ou rouvrir automatiquement des alertes en fonction de métadonnées ciblées, telles que la gravité, le nom du package, la CWE, et bien plus encore. Vous pouvez également spécifier pour quels Dependabot alerts vous souhaitez que Dependabot ouvre des demandes de tirage. Pour plus d’informations, consultez « Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité ».
Vous pouvez créer des règles personnalisées depuis l’onglet Paramètres du dépôt, à condition que celui-ci appartienne à une organisation disposant d’une licence pour GitHub Code Security or GitHub Advanced Security. Pour plus d’informations, consultez Ajouter des règles de triage automatique personnalisées à votre dépôt.
À propos du rejet automatique des alertes
Bien qu’il puisse être utile d’utiliser des règles de triage automatique pour rejeter automatiquement les alertes, vous pouvez toujours rouvrir les alertes rejetées automatiquement et filtrer afin d’afficher les alertes qui ont été rejetées automatiquement. Pour plus d’informations, consultez « Gestion des alertes qui ont été automatiquement ignorées par une règle de triage automatique de Dependabot ».
Par ailleurs, les alertes rejetées automatiquement restent disponibles pour la création de rapports et la révision, et peuvent être rouvertes automatiquement en cas de modification des métadonnées de l’alerte, par exemple :
- Si vous modifiez l’étendue d’une dépendance de développement à production.
- Si GitHub modifie certaines métadonnées pour l’avis associé.
Les alertes masquées automatiquement sont définies par le motif de fermeture resolution:auto-dismiss. L’activité de masquage automatique est incluse dans les webhooks d’alerte, dans les API REST et GraphQL, ainsi que dans le journal d’audit. Pour plus d’informations, consultez Points de terminaison d’API REST pour Dependabot alerts, ainsi que la section « repository_vulnerability_alert » dans Examen du journal d’audit de votre organisation.
Étapes suivantes
Pour commencer à utiliser Règles de triage automatique de Dependabot, consultez Utiliser les règles prédéfinies GitHub pour prioriser les alertes Dependabot.
Pour personnaliser votre expérience de triage automatique, consultez Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité.