Gestion Dependabot security updates de vos référentiels
Vous pouvez activer ou désactiver Dependabot security updates pour tous les référentiels éligibles appartenant à votre compte personnel ou celui de votre organisation. Pour plus d’informations, consultez Gestion des fonctionnalités de sécurité et d’analyse ou Gestion des paramètres de sécurité et d'analyse pour votre organisation.
Vous pouvez également activer ou désactiver Dependabot security updates pour un référentiel individuel.
Activation ou désactivation Dependabot security updates d’un référentiel individuel
-
Sur GitHub, accédez à la page principale du référentiel.
-
Sous le nom de votre référentiel, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.
-
Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.
-
À droite de «Dependabot mises à jour de sécurité », cliquez sur Activer pour activer la fonctionnalité ou désactiver pour la désactiver. Pour les référentiels publics, le bouton est désactivé si la fonctionnalité est toujours activée.
Regroupement de Dependabot security updates en une seule pull request
Pour utiliser le regroupement des mises à jour de sécurité, vous devez d’abord activer les fonctionnalités suivantes :
-
**Graphique des dépendances**. Pour plus d’informations, consultez « [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-the-dependency-graph) ». -
** Dependabot alerts **. Pour plus d’informations, consultez « [AUTOTITLE](/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts) ». -
** Dependabot security updates **. Pour plus d’informations, consultez « [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates) ».
Remarque
Lorsque les mises à jour de sécurité groupées sont activées pour la première fois, Dependabot essaiera immédiatement de créer des requêtes d'extraction groupées. Vous remarquerez peut-être Dependabot la fermeture des anciennes pull requests et l’ouverture de nouvelles.
Vous pouvez activer les demandes de tirage (pull requests) groupées pour Dependabot security updates d’une ou des deux manières suivantes.
- Pour regrouper autant de mises à jour de sécurité disponibles que possible, à travers les répertoires et par écosystème, activez le regroupement dans les paramètres « Advanced Security » pour votre référentiel, ou dans les « Paramètres globaux » sous Advanced Security pour votre organisation.
- Pour un contrôle plus précis du regroupement, tel que le regroupement par nom de package, par dépendance de développement/production ou par niveau SemVer, ou à travers plusieurs répertoires par écosystème, ajoutez des options de configuration au fichier de configuration
dependabot.ymldans votre référentiel.
Remarque
Si vous avez configuré des règles de groupe pour Dependabot security updates dans un fichier dependabot.yml, toutes les mises à jour disponibles sont regroupées en fonction des règles que vous avez spécifiées. Dependabot regroupe uniquement les annuaires non configurés dans votre dependabot.yml si le paramètre des correctifs de sécurité groupés au niveau de l’organisation ou du référentiel est également activé.
Activation ou désactivation du regroupement de Dependabot security updates pour un référentiel individuel
-
Sur GitHub, accédez à la page principale du référentiel.
-
Sous le nom de votre référentiel, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.
-
Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.
-
Sous «Dependabot », à droite de « Mises à jour de sécurité groupées », cliquez sur Activer pour activer la fonctionnalité ou désactiver pour la désactiver.
Activation ou désactivation d’un regroupement Dependabot security updates pour une organisation
Vous pouvez activer le regroupement Dependabot security updates en une seule pull request. Pour plus d’informations, consultez « [AUTOTITLE](/code-security/securing-your-organization/enabling-security-features-in-your-organization/configuring-global-security-settings-for-your-organization#grouping-dependabot-security-updates) ».
Substitution du comportement par défaut avec un fichier de configuration
Vous pouvez remplacer le comportement par défaut en Dependabot security updates ajoutant un dependabot.yml fichier à votre référentiel. Avec un fichier dependabot.yml, vous pouvez exercer un contrôle plus précis sur le regroupement et outrepasser le comportement par défaut des paramètres Dependabot security updates.
Utilisez l'option groups avec la clé applies-to: security-updates pour créer des ensembles de dépendances (par gestionnaire de paquet), afin que Dependabot ouvre une requête de tirage unique pour mettre à jour plusieurs dépendances en même temps. Vous pouvez définir des groupes par nom de paquet (clés patterns et exclude-patterns), par type de dépendance (clé dependency-type) et par version SemVer (clé update-types).
Dependabot crée des groupes dans l'ordre où ils apparaissent dans votre fichier dependabot.yml. Si une mise à jour de dépendance peut appartenir à plusieurs groupes, elle n’est affectée qu’au premier groupe avec lequel elle correspond.
Si vous avez uniquement besoin de mises à jour de sécurité et souhaitez exclure les mises à jour de version, vous pouvez définir open-pull-requests-limit sur 0 afin d’empêcher les mises à jour de version pour un package-ecosystem donné.
Pour plus d’informations sur les options de configuration disponibles pour les mises à jour de sécurité, consultez Personnalisation des demandes de tirage pour les mises à jour de sécurité de Dependabot.
# Example configuration file that:
# - Has a private registry
# - Ignores lodash dependency
# - Disables version-updates
# - Defines a group by package name, for security updates for golang dependencies
version: 2
registries:
example:
type: npm-registry
url: https://example.com
token: ${{secrets.NPM_TOKEN}}
updates:
- package-ecosystem: "npm"
directory: "/src/npm-project"
schedule:
interval: "daily"
# For Lodash, ignore all updates
ignore:
- dependency-name: "lodash"
# Disable version updates for npm dependencies
open-pull-requests-limit: 0
registries:
- example
- package-ecosystem: "gomod"
directories:
- "**/*"
schedule:
interval: "weekly"
open-pull-requests-limit: 0
groups:
golang:
applies-to: security-updates
patterns:
- "golang.org*"
# Example configuration file that:
# - Has a private registry
# - Ignores lodash dependency
# - Disables version-updates
# - Defines a group by package name, for security updates for golang dependencies
version: 2
registries:
example:
type: npm-registry
url: https://example.com
token: ${{secrets.NPM_TOKEN}}
updates:
- package-ecosystem: "npm"
directory: "/src/npm-project"
schedule:
interval: "daily"
# For Lodash, ignore all updates
ignore:
- dependency-name: "lodash"
# Disable version updates for npm dependencies
open-pull-requests-limit: 0
registries:
- example
- package-ecosystem: "gomod"
directories:
- "**/*"
schedule:
interval: "weekly"
open-pull-requests-limit: 0
groups:
golang:
applies-to: security-updates
patterns:
- "golang.org*"
Remarque
Pour Dependabot pouvoir utiliser cette configuration pour les mises à jour de sécurité, il directory doit s’agir du chemin d’accès aux fichiers manifestes (ou directories doit contenir des chemins d’accès ou des modèles glob correspondant aux emplacements des fichiers manifestes), et vous ne devez pas spécifier un target-branch.
Lectures complémentaires
-
[AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts) -
[AUTOTITLE](/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts) -
[AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/dependency-graph-supported-package-ecosystems#supported-package-ecosystems)