Configuration d’alertes Dependabot

Activez la génération de Dependabot alerts lorsqu'une nouvelle dépendance vulnérable est trouvée dans l'un de vos référentiels.

Qui peut utiliser cette fonctionnalité ?

  • Administrateurs du référentiel, propriétaires de l'organisation et personnes ayant un accès en écriture ou en maintenance
  • Utilisateurs et équipes disposant d’un accès explicite. Consultez Autoriser l'accès à l'alerte de sécurité.

Dans cet article

Quand il Dependabot détecte les dépendances vulnérables dans un référentiel, il génère des alertes. Pour plus d’informations, consultez « À propos des alertes Dependabot ».

Vous pouvez activer ou désactiver Dependabot alerts pour :

  • Votre compte personnel
  • Votre dépôt
  • Votre organisation

Gestion Dependabot alerts de votre compte personnel

Vous pouvez activer ou désactiver Dependabot alerts sur tous les référentiels appartenant à votre compte personnel.

Accéder à vos paramètres de sécurité

Activation ou désactivation Dependabot alerts des dépôts existants

  1. Sous «Advanced Security », à droite de Dependabot alerts, cliquez sur Désactiver tout ou Activer tout.
  2. Si vous le souhaitez, pour activer Dependabot alerts par défaut pour les nouveaux référentiels que vous créez, dans la boîte de dialogue, sélectionnez « Activer par défaut pour les nouveaux référentiels ».
  3. Cliquez sur Désactiver Dependabot alerts ou Activer Dependabot alerts pour désactiver ou activer Dependabot alerts tous les référentiels que vous possédez.

Lorsque vous activez Dependabot alerts pour les référentiels existants, vous verrez les résultats affichés sur GitHub en quelques minutes.

Activation ou désactivation Dependabot alerts des nouveaux référentiels

  1. Sous «Advanced Security », à droite de Dependabot alerts, sélectionnez Activer automatiquement pour les nouveaux référentiels.

Gestion Dependabot alerts de votre référentiel

Vous pouvez gérer Dependabot alerts pour votre dépôt public, privé ou interne.

Par défaut, nous informons les personnes disposant d’autorisations d’écriture, de maintenance ou d’administrateur dans les référentiels concernés concernant le nouveau Dependabot alerts. GitHub ne divulgue jamais publiquement les dépendances non sécurisées pour n’importe quel dépôt. Vous pouvez également rendre Dependabot alerts visible des personnes ou équipes supplémentaires travaillant sur des référentiels dont vous êtes propriétaire ou disposant d’autorisations d’administrateur.

Si vous activez les fonctionnalités de sécurité et d’analyse, GitHub effectue une analyse en lecture seule sur votre dépôt.

Activation ou désactivation d'un dépôt Dependabot alerts

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre référentiel, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.

  4. Sous «Advanced Security », à droite de Dependabot alerts, cliquez sur Activer pour activer les alertes ou Désactiver pour désactiver les alertes.

Gérer Dependabot alerts pour votre organisation

Vous pouvez activer Dependabot alerts pour tous les dépôts éligibles dans votre organisation. Pour plus d’informations, consultez « À propos de l'activation des fonctionnalités de sécurité à grande échelle ».

Gestion Dependabot alerts à grande échelle avec des règles

En outre, vous pouvez utiliser Règles de triage automatique de Dependabot pour gérer vos alertes à l’échelle, pour pouvoir ignorer automatiquement ou désactiver temporairement les alertes, et spécifier les alertes pour lesquelles vous souhaitez que Dependabot ouvre les demandes de tirage. Pour plus d’informations sur les différents types de règles de triage automatique et pour savoir si vos référentiels sont éligibles, consultez À propos des règles de triage automatique de Dependabot.