Lorsque Dependabot rencontre des erreurs lors de la mise à jour de vos dépendances, vous pouvez utiliser cette référence pour diagnostiquer et résoudre les problèmes courants.
Comment afficher les erreurs
Erreurs de mise à jour de sécurité
Lorsqu'une Dependabot pull request est bloquée pour corriger une alerte Dependabot, le système publie le message d'erreur sur l'alerte. La Dependabot alerts vue affiche une liste des alertes qui n’ont pas encore été résolues. Pour accéder à la vue alertes, cliquez Dependabot alerts sur l’onglet Security du référentiel. Si une demande de tirage destinée à corriger la dépendance vulnérable a été générée, l’alerte inclut un lien vers cette demande de tirage.
Une alerte peut ne pas avoir de lien de pull request pour plusieurs raisons :
-
Dependabot security updates ne sont pas activés pour le référentiel. - L’alerte concerne une dépendance indirecte ou transitive qui n’est pas explicitement définie dans un fichier de verrouillage.
- Une erreur a empêché Dependabot de créer une pull request.
Pour afficher les détails de l’erreur, cliquez sur l’alerte.
Erreurs de mise à jour de version
Quand Dependabot est bloqué pour créer un pull request afin de mettre à jour une dépendance dans un écosystème, vous pouvez consulter la liste des journaux d'exécution pour en savoir plus sur l’erreur.
La liste des journaux des projets est accessible à partir du graphique de dépendance d'un référentiel. Dans le graphique de dépendance, cliquez sur l’onglet Dependabot, puis à droite du fichier manifeste concerné, cliquez sur Projets de mise à jour récents.
Pour afficher les fichiers journaux complets d’un travail particulier, à droite de l’entrée de journal qui vous intéresse, cliquez sur Afficher les journaux.
Pour plus d’informations, consultez « Affichage des journaux de travaux Dependabot ».
Erreurs de résolution des dépendances
Impossible de mettre à jour DEPENDENCY vers une version non vulnérable
**S’applique à :** Mises à jour de sécurité uniquement
**Message d'erreur:**`Dependabot cannot update DEPENDENCY to a non-vulnerable version`
Dependabot ne peut pas créer une pull request pour mettre à jour la dépendance vulnérable vers une version sécurisée sans rupture d'autres dépendances dans le graphique de dépendances de ce référentiel.
Chaque application qui a des dépendances a un graphe de dépendances, autrement dit un graphe orienté acyclique de chaque version de package dont l’application dépend directement ou indirectement. Chaque fois qu’une dépendance est mise à jour, ce graphe doit être résolu, sinon l’application n’est pas générée. Quand un écosystème a un graphe de dépendances profond et complexe, par exemple, npm et RubyGems, il est souvent impossible de mettre à niveau une seule dépendance sans mettre à niveau l’ensemble de l’écosystème.
**Résolution:** Restez à jour avec les dernières versions publiées, par exemple en activant les mises à jour de version. Cela augmente la probabilité qu’une vulnérabilité dans une dépendance puisse être résolue par une simple mise à niveau qui ne rompt pas le graphe de dépendances. Consultez [AUTOTITLE](/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates).
Met à jour les dépendances sans alerte
**S’applique à :** Mises à jour de sécurité uniquement
**Message d'erreur:**`Dependabot tries to update dependencies without an alert`
Dependabot met à jour des dépendances transitives explicitement définies qui sont vulnérables pour tous les écosystèmes. Pour npm, Dependabot crée une pull request qui met également à jour la dépendance parente s’il s’agit du seul moyen de corriger la dépendance transitive.
Par exemple, un projet avec une dépendance envers la version A de ~2.0.0 qui a une dépendance transitive envers la version B de ~1.0.0 qui a été résolue en 1.0.1.
my project
|
--> A (2.0.0) [~2.0.0]
|
--> B (1.0.1) [~1.0.0]
Si une vulnérabilité de sécurité est publiée pour B les versions <2.0.0 et qu’un correctif est disponible à 2.0.0, alors Dependabot tentera de mettre à jour B, mais constatera que cela n’est pas possible en raison de la restriction en place par A, qui autorise uniquement les versions vulnérables inférieures. Pour corriger la vulnérabilité, Dependabot recherchera les mises à jour de la dépendance A qui permettent l’utilisation de la version corrigée de B.
Dependabot génère automatiquement une pull request qui met à niveau les dépendances transitives verrouillées des parents et enfants.
Impossible de clôturer le pull request pour une mise à jour qui a déjà été appliquée.
**Message d'erreur:**`Dependabot fails to close a open pull request for an update that has already been applied on the default branch`
Dependabot va fermer les pull requests pour les mises à jour des dépendances, une fois que ces mises à jour ont été intégrées dans la branche par défaut. Cependant, dans de rares situations, la demande de tirage peut demeurer ouverte.
**Résolution:** Si vous remarquez que vous avez validé manuellement une mise à jour vers une dépendance et que la demande de tirage pour cette même mise à jour est toujours ouverte, vous pouvez utiliser l’une des commandes suivantes dans un commentaire sur la demande de tirage :
*
@dependabot recreate ou
*
@dependabot rebase.
N'importe quel commentaire déclenchera Dependabot pour vérifier si la dépendance n'est plus extensible ou vulnérable. Si Dependabot détecte que la pull request n’est plus nécessaire, elle fermera la pull request dans ce cas particulier.
Pour plus d’informations sur les commandes de Dependabot commentaire, consultez Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances.
Impossible de mettre à jour vers la version requise, car il existe déjà une pull request ouverte pour la dernière version.
**S’applique à :** Mises à jour de sécurité uniquement
**Message d'erreur:**`Dependabot cannot update to the required version as there is already an open pull request for the latest version`
Dependabot ne créera pas de pull request pour mettre à jour la dépendance vulnérable vers une version sécurisée, car il existe déjà une pull request ouverte pour cette mise à jour. Cette erreur s’affiche quand une vulnérabilité est détectée dans une seule dépendance et qu’il existe déjà une demande de tirage ouverte pour mettre à jour la dépendance vers la dernière version.
**Résolution:** Vous pouvez passer en revue la demande de tirage ouverte et la fusionner dès que vous êtes certain que la modification est sécurisée ou fermez cette demande de tirage et déclenchez une nouvelle demande de tirage de mise à jour de sécurité. Consultez [Déclenchement d'une Dependabot pull request manuellement](#triggering-a-dependabot-pull-request-manually).
Aucune mise à jour de sécurité n’est nécessaire
**S’applique à :** Mises à jour de sécurité uniquement
**Message d'erreur:**`No security update is needed as DEPENDENCY is no longer vulnerable`
Dependabot ne peut pas fermer une pull request pour mettre à jour une dépendance qui n’est pas ou n’est plus vulnérable. Cette erreur peut s’afficher lorsque les données du graphe de dépendance sont obsolètes ou lorsque le graphe de dépendance et Dependabot ne s'accordent pas sur la vulnérabilité d’une version particulière d’une dépendance.
**Résolution:** Examinez d’abord le graphique de dépendances de votre référentiel, examinez la version détectée pour la dépendance et vérifiez si la version identifiée correspond à ce qui est utilisé dans votre référentiel.
Si vous estimez que les données de votre graphe de dépendances sont obsolètes, il peut être nécessaire de mettre à jour manuellement le graphe de dépendances de votre référentiel ou d’analyser plus en détail vos informations de dépendances. Consultez Résolution des problèmes liés au graphe de dépendances.
Si vous êtes en mesure de confirmer que la version de la dépendance n’est plus vulnérable, vous pouvez fermer la Dependabot pull request.
Erreurs de pull request
Limite de pull request atteinte
**Message d'erreur:**`Dependabot cannot open any more pull requests`
Le nombre de pull requests ouvertes que Dependabot générera est limité. Quand cette limite est atteinte, aucune nouvelle demande de tirage n’est ouverte et cette erreur est signalée.
**Limites:**
- Requêtes d'extraction de mises à jour de sécurité : 10
- Demandes de tirage de version : 5 (paramétrables via
open-pull-requests-limit)
Il existe des limites distinctes pour les demandes de tirage de mise à jour de sécurité et de mise à jour de version, afin que les demandes de tirage de mise à jour de version ouvertes ne puissent pas empêcher la création d’une demande de tirage de mise à jour de sécurité. Pour plus d’informations, consultez « Référence des options Dependabot ».
**Résolution:** Fusionnez ou fermez certaines des demandes de tirage existantes et déclenchez une nouvelle demande de tirage manuellement. consultez [Déclencher une Dependabot demande de tirage manuellement](#triggering-a-dependabot-pull-request-manually).
Erreurs liées aux délais d’attente et aux performances
Mise à jour expirée
**Message d'erreur:**`Dependabot timed out during its update`
Dependabot a pris plus de temps que le délai maximal autorisé pour évaluer la mise à jour requise et préparer une pull request. Cette erreur n’est généralement observée que pour les grands dépôts avec de nombreux fichiers manifestes, par exemple, les projets monodépôts npm ou yarn avec des centaines de fichiers _package.json_. L’évaluation des mises à jour apportées à l’écosystème Composer peut également prendre plus de temps, avec le risque que les mises à jour expirent.
**Résolution des mises à jour de version :** Spécifiez les dépendances les plus importantes à mettre à jour à l’aide du `allow` paramètre ou, sinon, utilisez le `ignore` paramètre pour exclure certaines dépendances des mises à jour. La mise à jour de votre configuration peut permettre Dependabot d’examiner la mise à jour de version et de générer une pull request dans le temps disponible.
**Résolution pour les mises à jour de sécurité :** réduisez les risques de délais d’attente en maintenant les dépendances à jour, par exemple en activant les mises à jour de version. Pour plus d’informations, consultez « [AUTOTITLE](/code-security/dependabot/dependabot-version-updates/configuring-dependabot-version-updates) ».
Erreurs de regroupement
Échec du regroupement des dépendances (mises à jour de version)
**S’applique à :** Mises à jour de version uniquement
**Message d'erreur:**`Dependabot fails to group a set of dependencies into a single pull request for Dependabot version updates`
Les paramètres de configuration groups définis dans le fichier dependabot.yml peuvent s’appliquer aussi bien aux mises à jour de version qu’aux mises à jour de sécurité. Utilisez la clé applies-to afin de préciser à quel type de mises à jour, version ou sécurité, s’applique un ensemble donné de règles de regroupement.
Vous ne pouvez pas appliquer un seul ensemble de règles de regroupement aux mises à jour de version et aux correctifs de sécurité. Au lieu de cela, si vous souhaitez regrouper à la fois les mises à jour de version et les correctifs de sécurité à l’aide des mêmes critères, vous devez définir deux ensembles de règles, nommés séparément, groupant des ensembles de règles.
Lors de la configuration des mises à jour de version regroupées, les groupes doivent être définis par écosystème de paquets.
**Cause courante : groupes vides :** Vous avez peut-être créé involontairement des groupes vides. Ce cas peut se produire, par exemple, lorsque vous définissez un `dependency-type` dans la clé `allow` pour l’ensemble du travail.
allow:
dependency-type: production
# this restricts the entire job to production dependencies
groups:
development-dependencies:
dependency-type: "development"
# this group will always be empty
allow:
dependency-type: production
# this restricts the entire job to production dependencies
groups:
development-dependencies:
dependency-type: "development"
# this group will always be empty
Dans cet exemple, Dependabot procédez comme suit :
- Examiner la liste de vos dépendances et restreindre le travail aux dépendances utilisées uniquement dans
production. - Tenter de créer un groupe nommé
development-dependenciescorrespondant à un sous-ensemble de cette liste restreinte. - Constater que le groupe
development-dependenciesest vide, car toutes les dépendancesdevelopmentont été exclues à l’étape 1. -
**Mettez à jour individuellement **toutes les dépendances qui ne font pas partie du groupe. Étant donné que le groupe pour les dépendances en production est vide, Dependabot ignore le groupe et crée une demande de tirage distincte pour chaque dépendance. **Résolution:** Assurez-vous que les paramètres de configuration n’annulent pas les uns les autres et mettez-les à jour correctement dans votre fichier de configuration. Pour analyser le problème, reportez-vous aux journaux d’activité. Pour plus d’informations sur l’accès aux journaux d’activité d’un manifeste, consultez [Comment afficher les erreurs](#how-to-view-errors).
Pour plus d’informations sur la configuration des groupes pour Dependabot version updates, consultez Référence des options Dependabot.
Échec du regroupement des dépendances (mises à jour de sécurité)
**S’applique à :** Mises à jour de sécurité uniquement
**Message d'erreur:**`Dependabot fails to group a set of dependencies into a single pull request for Dependabot security updates`
Les paramètres de configuration groups définis dans le fichier dependabot.yml peuvent s’appliquer aussi bien aux mises à jour de version qu’aux mises à jour de sécurité. Utilisez la clé applies-to afin de préciser à quel type de mises à jour, version ou sécurité, s’applique un ensemble donné de règles de regroupement. Assurez-vous que le regroupement est bien configuré pour s’appliquer aux mises à jour de sécurité. Lorsque la clé applies-to est absente d’un ensemble de règles de regroupement dans votre configuration, toutes les règles de regroupement s’appliquent par défaut uniquement aux mises à jour de version.
Vous ne pouvez pas appliquer un seul ensemble de règles de regroupement aux mises à jour de version et aux correctifs de sécurité. Au lieu de cela, si vous souhaitez regrouper à la fois les mises à jour de version et les correctifs de sécurité à l’aide des mêmes critères, vous devez définir deux ensembles de règles, nommés séparément, groupant des ensembles de règles.
**Instructions de regroupement pour les mises à jour de sécurité :**
*
Dependabot
regroupe les dépendances de l’écosystème de package qui se trouve dans différents répertoires lorsque des règles de regroupement sont spécifiées pour les configurations qui utilisent la directories clé.
*
Dependabot
appliquera d'autres options de personnalisation pertinentes depuis le fichier dependabot.yml aux pull requests pour les mises à jour de sécurité groupées. Les règles de groupe configurées dans un fichier dependabot.yml remplacent les paramètres d’interface utilisateur pour activer ou désactiver les correctifs de sécurité groupés au niveau de l’organisation ou du référentiel.
*
Dependabot
ne regroupera pas les dépendances de différents écosystèmes de package ensemble.
*
Dependabot
ne regroupe pas les mises à jour de sécurité avec les mises à jour de version.
Pour plus d’informations, consultez « À propos des mises à jour de sécurité Dependabot » et « Personnalisation des demandes de tirage pour les mises à jour de sécurité de Dependabot ».
Échec de la mise à jour de la dépendance dans la pull request groupée
**Message d'erreur:**`Dependabot fails to update one of the dependencies in a grouped pull request`
Plusieurs méthodes de dépannage peuvent être utilisées lorsque des mises à jour de version ou de sécurité échouent.
Mises à jour de version
**S’applique à :** Mises à jour de version uniquement
Dependabot affiche la mise à jour ayant échoué dans vos journaux, ainsi que dans le résumé de travail à la fin de ceux-ci.
**Résolution :**
- Utilisez le commentaire
@dependabot recreatesur le pull request pour reconstruire le groupe. Consultez Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances. - Si la dépendance ne parvient toujours pas à être mise à jour, utilisez la
exclude-patternsconfiguration afin que la dépendance soit exclue du groupe. Dependabot lance ensuite une requête de tirage distincte pour mettre à jour la dépendance. - Si la dépendance ne parvient toujours pas à être mise à jour, il peut y avoir un problème avec la dépendance elle-même ou pour Dependabot cet écosystème spécifique.
Si vous souhaitez ignorer les mises à jour pour la dépendance, vous devez effectuer l’une des opérations suivantes.
- Configurez une
ignorerègle pour la dépendance dans le fichierdependabot.yml. Pour plus d’informations, consultez « Référence des options Dependabot ». - Utilisez la commande de commentaire
@dependabot ignorepour la dépendance dans la demande de tirage (pull request) pour les mises à jour groupées. Pour plus d’informations, consultez « Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances ».
Mises à jour de sécurité
**S’applique à :** Mises à jour de sécurité uniquement
Si une demande de tirage groupée relative aux mises à jour de sécurité échoue ou ne peut être fusionnée, ouvrez manuellement les demandes de tirage afin d’augmenter les versions associées aux changements cassants. Lorsque vous mettez à jour manuellement un package inclus dans une demande de tirage groupée, Dependabot rebase la demande de tirage afin qu’elle n’inclue pas le package mis à jour manuellement.
Si vous souhaitez ignorer les mises à jour pour la dépendance, vous devez effectuer l’une des opérations suivantes.
- Configurez une
ignorerègle pour la dépendance dans le fichierdependabot.yml. Pour plus d’informations, consultez « Référence des options Dependabot ». - Utilisez la commande de commentaire
@dependabot ignorepour la dépendance dans la demande de tirage (pull request) pour les mises à jour groupées. Pour plus d’informations, consultez « Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances ».
L'intégration continue échoue sur la pull request groupée
**S’applique à :** Mises à jour de version uniquement
**Message d'erreur:**`Continuous integration (CI) fails on my grouped pull request`
**Résolution :**
Si l’échec est dû à une dépendance unique, utilisez la exclude-patterns configuration afin que la dépendance soit exclue du groupe.
Dependabot lance ensuite une requête de tirage distincte pour mettre à jour la dépendance.
Si vous souhaitez ignorer les mises à jour pour la dépendance, vous devez effectuer l’une des opérations suivantes.
- Configurez une
ignorerègle pour la dépendance dans le fichierdependabot.yml. Pour plus d’informations, consultez « Référence des options Dependabot ». - Utilisez la commande de commentaire
@dependabot ignorepour la dépendance dans la demande de tirage (pull request) pour les mises à jour groupées. Pour plus d’informations, consultez « Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances ».
Si vous continuez à voir des échecs d’intégration continue, supprimez la configuration du groupe pour que Dependabot revienne à créer des requêtes de tirage individuelles pour chaque dépendance. Vérifiez ensuite que chaque demande de tirage individuelle fonctionne correctement après la mise à jour.
Erreurs d’authentification et de Registre
Impossible de résoudre ou d’accéder aux dépendances
**Message d'erreur:**`Dependabot can't resolve your LANGUAGE dependency files`
**Type d’erreur d’API :**`git_dependencies_not_reachable`
Si Dependabot tente de vérifier si les références de dépendances doivent être mises à jour dans un référentiel, mais ne peut pas accéder à un ou plusieurs des fichiers référencés, l’opération échouera.
Erreurs de registre de paquets privés
Dependabot peut générer l’une des erreurs suivantes lorsqu’elle ne peut pas accéder à un registre de packages privés :
| Message d'erreur | Type d’erreur d’API |
|---|---|
| «Dependabot impossible d’atteindre une dépendance dans un registre de packages privés » | private_source_not_reachable |
| «Dependabot ne peut pas s’authentifier auprès d’un registre de packages privés » | private_source_authentication_failure |
| «Dependabot a expiré en attendant un registre de paquets privés » | private_source_timed_out |
| «Dependabot Impossible de valider le certificat pour un registre de packages privés » | private_source_certificate_failure |
**Résolution:** Vérifiez que toutes les dépendances référencées sont hébergées à des emplacements accessibles.
**Mises à jour de version uniquement :**Lors de l’exécution de mises à jour de sécurité ou de version, certains écosystèmes doivent être capables de résoudre toutes les dépendances de leur source pour vérifier que les mises à jour ont réussi. Si vos fichiers manifeste ou de verrouillage contiennent des dépendances privées, Dependabot doit être capable d’accéder à l’emplacement auquel ces dépendances sont hébergées. Les propriétaires de l’organisation peuvent octroyer à Dependabot un accès aux dépôts privés contenant des dépendances pour un projet au sein de cette même organisation. Pour plus d’informations, consultez « [AUTOTITLE](/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/managing-security-and-analysis-settings-for-your-organization#allowing-dependabot-to-access-private-or-internal-dependencies) ». Vous pouvez configurer un accès aux registres privés dans le fichier de configuration `dependabot.yml` d’un dépôt. Pour plus d’informations, consultez « [AUTOTITLE](/code-security/dependabot/working-with-dependabot/configuring-access-to-private-registries-for-dependabot) ». En outre, Dependabot ne prend pas en charge les dépendances privées GitHub pour tous les gestionnaires de package. Consultez [AUTOTITLE](/code-security/dependabot/ecosystems-supported-by-dependabot/supported-ecosystems-and-repositories).
Déclenchement manuel d’une Dependabot pull request
Si vous débloquez Dependabot, vous pouvez déclencher manuellement une nouvelle tentative de création d’une demande de tirage.
**Pour les mises à jour de sécurité :** Affichez l’alerte Dependabot qui affiche l’erreur que vous avez corrigée, puis cliquez sur **Créer une Dependabot mise à jour de sécurité**.
**Pour les mises à jour de version :** Sous l’onglet **Insights** du référentiel, cliquez sur **Le graphique des dépendances**, puis sur l’onglet **Dependabot** . Cliquez **dernièrement sur _HEURE_ cochée** pour afficher le fichier journal généré Dependabot lors de la dernière vérification des mises à jour de version. Cliquez sur **Rechercher les mises à jour**.
Lectures complémentaires
-
[AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/troubleshooting-the-dependency-graph) -
[AUTOTITLE](/code-security/reference/supply-chain-security/troubleshoot-dependabot/vulnerable-dependency-detection)