Skip to main content

Configuration de notifications pour les alertes Dependabot

Optimisez la façon dont vous recevez les notifications concernant les Dependabot alerts.

À propos des notifications pour les Dependabot alerts.

Quand Dependabot détecte des dépendances vulnérables dans vos dépôts, nous générons une alerte Dependabot et l’affichons sous l’onglet Sécurité du dépôt. GitHub informe les chargés de maintenance des dépôts affectés sur la nouvelle alerte en fonction de leurs préférences de notification. Dependabot est activé par défaut sur tous les dépôts publics et doit l’être sur les dépôts privés. Par défaut, vous recevrez les Dependabot alerts par e-mail. Vous pouvez remplacer le comportement global par défaut en choisissant le type de notifications que vous souhaitez recevoir ou en désactivant complètement les notifications dans la page des paramètres de vos notifications utilisateur sur https://github.com/settings/notifications.

Dependabot ne génère pas de Dependabot alerts pour les programmes malveillants. Pour plus d’informations, consultez « À propos de la base de données GitHub Advisory ».

Quelles que soient vos préférences de notification, quand Dependabot est activé pour la première fois, GitHub n’envoie pas de notifications pour toutes les dépendances vulnérables trouvées dans votre dépôt. Au lieu de cela, vous recevrez des notifications pour les nouvelles dépendances vulnérables identifiées après l’activation de Dependabot, si vos préférences de notification l’autorisent.

Si vous êtes propriétaire d’une organisation, vous pouvez activer ou désactiver les Dependabot alerts pour tous les dépôts au sein de votre organisation en un seul clic. Vous pouvez également définir si les Dependabot alerts seront activées ou désactivées pour les référentiels nouvellement créés. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d'analyse pour votre organisation ».

Configuration des notifications pour les Dependabot alerts

Quand une nouvelle alerte Dependabot est détectée, GitHub avertit tous les utilisateurs ayant accès aux Dependabot alerts pour le dépôt en fonction de leurs préférences de notification. Vous recevez des alertes si vous consultez le dépôt, avez activé les notifications pour les alertes de sécurité ou pour toute activité sur le dépôt et n’ignorez pas le dépôt. Pour plus d’informations, consultez « Configuration des notifications ».

Vous pouvez configurer les paramètres de notification pour vous-même ou votre organisation à partir de la liste déroulante Gérer les notifications affichée en haut de chaque page. Pour plus d’informations, consultez « Configuration des notifications ».

Vous pouvez choisir la méthode de remise des notifications, ainsi que la fréquence à laquelle elles sont envoyées. Par défaut, vous recevez des notifications :

  • Dans votre boîte de réception : sous forme de notifications web. Une notification web est envoyée lorsque Dependabot est activé pour un dépôt, lorsqu’un nouveau fichier manifeste est commité dans le dépôt et lorsqu’une nouvelle vulnérabilité avec un niveau de gravité critique ou élevé est détectée (option Sur GitHub ).
  • Par courrier électronique. Un e-mail est envoyé lorsque Dependabot est activé pour un référentiel, lorsqu’un nouveau fichier manifeste est engagé dans le référentiel et lorsqu’une nouvelle vulnérabilité avec un niveau de gravité critique ou élevé est détectée (option E-mail).
  • Sur la ligne de commande. Des avertissements s’affichent sous forme de rappels lorsque vous effectuez un envoi vers des référentiels ayant des dépendances non sécurisées (option CLI).
  • Sur GitHub Mobile, comme notifications Web. Pour plus d’informations, consultez « Configuration des notifications ».

Remarque : les notifications/GitHub Mobile par e-mail et web sont les suivantes :

  • Par référentiel lorsque Dependabot est activé sur le référentiel ou lorsqu’un nouveau fichier manifeste est validé dans le référentiel.

  • Par organisation lorsqu’une nouvelle vulnérabilité est découverte.

  • Envoyé lorsqu’une nouvelle vulnérabilité est découverte. GitHub n’envoie pas de notifications lorsque les vulnérabilités sont mises à jour.

Vous pouvez personnaliser la façon dont vous êtes averti concernant les Dependabot alerts. Par exemple, vous pouvez recevoir un e-mail de synthèse quotidien ou hebdomadaire récapitulant les alertes concernant jusqu’à 10 de vos dépôts à l’aide de l’option Condensé des e-mails hebdomadaires.

Capture d’écran des options de notification pour Dependabot alerts. Un menu déroulant, montrant les options de fréquence des notifications, est mis en évidence par un contour orange.

Remarque : Vous pouvez filtrer vos notifications sur GitHub pour afficher les Dependabot alerts. Pour plus d’informations, consultez « Gestion des notifications à partir de votre boîte de réception ».

Les notifications par e-mail des Dependabot alerts qui affectent un ou plusieurs dépôts incluent le champ d’en-tête X-GitHub-Severity. Vous pouvez utiliser la valeur du champ d’en-tête X-GitHub-Severity pour filtrer les notifications par e-mail des Dependabot alerts. Pour plus d’informations, consultez « Configuration des notifications ».

Comment réduire le bruit des notifications pour Dependabot alerts

Si vous vous inquiétez de recevoir trop de notifications pour les Dependabot alerts, nous vous recommandons d’opter pour la synthèse hebdomadaire des e-mails ou de désactiver les notifications tout en gardant les Dependabot alerts activées. Vous pouvez toujours accéder à vos Dependabot alerts sous l’onglet Sécurité de votre dépôt. Pour plus d’informations, consultez « Affichage et mise à jour des alertes Dependabot ».

Pour aller plus loin