Alertes de programmes malveillants Dependabot

Dependabot malware alerts vous aident à identifier les logiciels malveillants dans vos dépendances afin de protéger votre projet et ses utilisateurs.

Qui peut utiliser cette fonctionnalité ?

Dépôts avec Dependabot alerts activé

Dans cet article

Le logiciel s’appuie souvent sur des packages provenant de différentes sources, créant des relations de dépendance qui peuvent menacer la sécurité de votre projet. Par exemple, les acteurs malveillants peuvent utiliser des paquets malveillants pour exécuter des attaques de logiciels malveillants, accéder à votre code, vos données, vos utilisateurs et vos contributeurs.

Pour sécuriser votre projet, Dependabot peut vérifier vos dépendances pour les packages malveillants connus, puis créer des alertes avec des étapes de correction suggérées.

Lorsque Dependabot envoie des malware alerts

Dependabot envoie malware alerts lorsqu’un package de la branche par défaut de votre dépôt est signalé comme malveillant. Des alertes pour les dépendances existantes sont générées dès que le package est signalé dans la GitHub Advisory Database.

Les alertes sont également générées lorsque vous envoyez des validations qui ajoutent un package malveillant connu ou mettent à jour un package vers une version malveillante connue.

Remarque

Si l’écosystème, le nom et la version d’un package interne correspondent à ceux d’un package public malveillant, Dependabot peut générer une alerte fausse positive.

Contenu des alertes

Lorsque Dependabot détecte une dépendance malveillante, un malware alert apparaît sous l’onglet Sécurité du référentiel. Chaque alerte inclut :

  • Lien vers le fichier concerné
  • Détails sur le package malveillant, y compris le nom du package, les versions affectées et la version corrigée (le cas échéant)
  • Étapes de correction

Disponibilité

Actuellement, Dependabot malware alerts sont disponibles pour les packages de npm l’écosystème.

Notifications d’alerte

Par défaut, GitHub envoie des notifications par e-mail concernant de nouvelles alertes aux personnes qui remplissent les deux conditions suivantes :

  • Disposer d’autorisations d’écriture, de maintenance ou d’administrateur dans un référentiel
  • Surveillez le référentiel et avez activé les notifications pour les alertes de sécurité ou pour toutes les activités sur le référentiel

Sur GitHub.com, vous pouvez remplacer le comportement par défaut en choisissant le type de notifications que vous souhaitez recevoir, ou désactiver complètement les notifications dans la page des paramètres de vos notifications utilisateur à https://github.com/settings/notifications.

Si vous vous inquiétez de recevoir trop de notifications, nous vous recommandons d’utiliser Règles de triage automatique de Dependabot pour ignorer automatiquement les alertes à faible risque. Consultez « À propos des règles de triage automatique de Dependabot ».

Limites

Dependabot malware alerts présentent certaines limitations :

  • Les alertes ne peuvent pas intercepter chaque problème de sécurité. Passez toujours en revue vos dépendances et conservez le manifeste et les fichiers de verrouillage à jour pour une détection précise.
  • De nouveaux programmes malveillants peuvent prendre du temps pour apparaître dans les GitHub Advisory Database et déclencher des alertes.
  • Seuls les avis examinés par GitHub déclenchent des alertes.
  • Dependabot n’analyse pas les dépôts archivés.
  • Pour GitHub Actions, les alertes sont générées uniquement pour les actions qui utilisent le contrôle de version sémantique, et non le contrôle de version SHA.

GitHub ne divulgue jamais publiquement les dépendances malveillantes pour n’importe quel référentiel.

Étapes suivantes

Pour commencer à protéger votre projet contre les dépendances malveillantes, consultez Configuration des alertes de programmes malveillants Dependabot.