Le logiciel s’appuie souvent sur des packages provenant de différentes sources, créant des relations de dépendances qui peuvent inconsciemment introduire des vulnérabilités de sécurité. Lorsque votre code dépend de packages avec des vulnérabilités de sécurité connues, vous devenez une cible pour les attaquants qui cherchent à exploiter votre système, ce qui peut obtenir l’accès à votre code, vos données, vos clients ou vos contributeurs. Dependabot alerts informez-vous des dépendances vulnérables afin de pouvoir effectuer une mise à niveau vers des versions sécurisées et protéger votre projet.
Quand Dependabot envoie des alertes
Dependabot analyse la branche par défaut de votre référentiel et envoie des alertes quand :
- Une nouvelle vulnérabilité est ajoutée au GitHub Advisory Database
- Votre graphe des dépendances change (par exemple, lorsque vous poussez des commits qui mettent à jour des packages ou des versions)
Pour les écosystèmes pris en charge, consultez Écosystèmes de packages pris en charge par le graphe des dépendances.
Comprendre les alertes
Lorsque GitHub détecte une dépendance vulnérable, une alerte Dependabot s’affiche dans l’onglet Sécurité et le graphique des dépendances du référentiel. Chaque alerte inclut :
- Lien vers le fichier concerné
- Détails sur la vulnérabilité et sa gravité
- Informations sur une version fixe (le cas échéant)
Pour plus d’informations sur l’affichage et la gestion des alertes, consultez Affichage et mise à jour des alertes Dependabot.
Qui peut activer les alertes ?
Les administrateurs de dépôts et les propriétaires d’organisations peuvent activer Dependabot alerts pour leurs dépôts et organisations. Lorsque cette option est activée, GitHub génère immédiatement le graphique de dépendances et crée des alertes pour toutes les dépendances vulnérables qu’elle identifie. Les administrateurs de référentiel peuvent accorder l’accès à d’autres personnes ou équipes.
Consultez Configuration d’alertes Dependabot.
Propriété et affectations d’alerte
Les utilisateurs disposant d’un accès en écriture ou plus peuvent affecter Dependabot alerts à des collaborateurs de référentiel, à des équipes, ou Copilot pour établir une propriété claire pour la correction des vulnérabilités. Les affectations permettent de suivre qui est responsable de chaque alerte et d’empêcher les vulnérabilités d’être ignorées.
Lorsqu’une alerte est affectée, le bénéficiaire reçoit une notification et l’alerte affiche son nom dans la liste des alertes. Vous pouvez filtrer les alertes par le destinataire pour suivre la progression. L’attribution d’une alerte à Copilot génère automatiquement un correctif et ouvre une demande de pull request à l'état de brouillon pour révision.
Pour plus d’informations sur l’attribution d’alertes, consultez Affichage et mise à jour des alertes Dependabot.
Fonctionnement des notifications d’alerte
Par défaut, GitHub envoie des notifications par e-mail concernant les nouvelles alertes aux personnes qui à la fois :
- Disposer d’autorisations d’écriture, de maintenance ou d’administrateur dans un référentiel
- Surveillez le référentiel et avez activé les notifications pour les alertes de sécurité ou pour toutes les activités sur le référentiel
Vous pouvez remplacer le comportement par défaut en choisissant le type de notifications à recevoir ou en désactivant complètement les notifications dans la page paramètres de vos notifications utilisateur à l’adresse https://github.com/settings/notifications.
Quelles que soient vos préférences de notification, quand elle Dependabot est activée pour la première fois, GitHub n’envoie pas de notifications pour toutes les dépendances vulnérables trouvées dans votre référentiel. Au lieu de cela, vous recevrez des notifications pour les nouvelles dépendances vulnérables identifiées après Dependabot avoir été activées, si vos préférences de notification l’autorisent.
Si vous êtes préoccupé par la réception d’un trop grand nombre de notifications, nous vous recommandons d’utiliser cette option Règles de triage automatique de Dependabot pour ignorer automatiquement les alertes à faible risque. Les règles sont appliquées avant l’envoi des notifications d’alerte. Par conséquent, les alertes qui sont automatiquement ignorées lors de leur création n’envoient pas de notifications. Consultez À propos des règles de triage automatique de Dependabot.
Vous pouvez également opter pour la synthèse hebdomadaire des e-mails, ou même désactiver complètement les notifications tout en gardant Dependabot alerts activé.
Limites
Dependabot alerts présentent certaines limitations :
-
Les alertes ne peuvent pas intercepter chaque problème de sécurité. Passez toujours en revue vos dépendances et conservez le manifeste et les fichiers de verrouillage à jour pour une détection précise.
-
De nouvelles vulnérabilités peuvent mettre du temps à apparaître dans le GitHub Advisory Database et à déclencher des alertes.
-
Seuls les avis examinés par GitHub déclenchent des alertes.
-
Dependabot n’analyse pas les dépôts archivés. -
Pour GitHub Actions, les alertes sont générées uniquement pour les actions qui utilisent le contrôle de version sémantique, et non le contrôle de version SHA.
GitHub ne divulgue jamais publiquement les vulnérabilités d’un dépôt.
intégration GitHub Copilot Chat
Avec une GitHub Copilot Enterprise licence, vous pouvez poser les questions Tchat Copilot sur Dependabot alerts dans les dépôts de votre organisation. Pour plus d’informations, consultez « Poser des questions à GitHub Copilot sur GitHub ».
Lectures complémentaires
-
[AUTOTITLE](/code-security/concepts/supply-chain-security/dependabot-malware-alerts) -
[AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts) -
[AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates) -
[AUTOTITLE](/code-security/getting-started/auditing-security-alerts)