À propos de Dependabot
Ce guide de démarrage rapide vous guide tout au long de la configuration et de l’activation de Dependabot et de l’affichage des Dependabot alerts et des mises à jour pour un dépôt.
Dependabot se compose de trois fonctionnalités différentes qui vous aident à gérer vos dépendances :
- Dependabot alerts : vous informent des vulnérabilités dans les dépendances que vous utilisez dans votre dépôt.
- Dependabot security updates : déclenchent automatiquement des demandes de tirage (pull request) pour mettre à jour les dépendances que vous utilisez et qui présentent des vulnérabilités de sécurité connues.
- Dependabot version updates : déclenchent automatiquement des demandes de tirage afin de maintenir vos dépendances à jour.
Prérequis
Dans le cadre de ce guide, nous allons utiliser un dépôt de démonstration pour illustrer comment Dependabot détecte les vulnérabilités dans les dépendances, où vous pouvez voir des Dependabot alerts sur GitHub, et comment vous pouvez explorer, corriger ou ignorer ces alertes.
Vous devez commencer par dupliquer (fork) le dépôt de démonstration.
- Accédez à https://github.com/dependabot/demo.
- En haut de la page, à droite, cliquez sur Dupliquer.
- Sélectionnez un propriétaire (vous pouvez sélectionner votre compte personnel GitHub) et tapez un nom de dépôt. Pour plus d’informations sur la duplication des dépôts, consultez « Dupliquer (fork) un référentiel ».
- Cliquez sur Créer une duplication.
Activation de Dependabot pour votre dépôt
Vous devez suivre les étapes ci-dessous sur le dépôt que vous avez dupliqué dans la section « Prérequis ».
-
Sur GitHub, accédez à la page principale du référentiel.
-
Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.
-
Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.
-
Sous « Sécurité et analyse du code », à droite de Dependabot alerts, cliquez sur Activer pour Dependabot alerts, Dependabot security updates et Dependabot version updates.
-
Si vous souhaitez tester Dependabot version updates, cliquez sur .github/dependabot.yml. Cette action crée un fichier de configuration
dependabot.yml
par défaut dans le répertoire/.github
de votre dépôt. Pour activer les Dependabot version updates pour votre dépôt, vous configurez généralement ce fichier en fonction de vos besoins en modifiant le fichier par défaut et en commitant vos modifications. Vous pouvez vous référer à l’extrait de code fourni dans « Configuration de mises à jour de version Dependabot » pour obtenir un exemple.
Remarque : Si le graphe de dépendances n’est pas encore activé pour le dépôt, GitHub l’active automatiquement quand vous activez Dependabot.
Pour plus d’informations sur la configuration de chacune de ces fonctionnalités Dependabot, consultez « Configuration d’alertes Dependabot », « Configuration des mises à jour de sécurité Dependabot » et « Configuration de mises à jour de version Dependabot ».
Affichage des Dependabot alerts pour votre dépôt
Si les Dependabot alerts sont activées pour un dépôt, vous pouvez afficher les Dependabot alerts sous l’onglet « Sécurité » du dépôt. Vous pouvez utiliser le dépôt dupliqué sur lequel vous avez activé les Dependabot alerts dans la section précédente.
-
Sur GitHub, accédez à la page principale du référentiel.
-
Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.
-
Dans la barre latérale « Alertes de vulnérabilité » de la vue d’ensemble de la sécurité, cliquez sur Dependabot . Si cette option est absente, cela signifie que vous n'avez pas accès aux alertes de sécurité et que vous devez y avoir accès. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ».
-
Passez en revue les alertes ouvertes dans la page Dependabot alerts. Par défaut, la page affiche l’onglet Ouvertes, qui liste les alertes ouvertes. (Vous pouvez afficher toutes les alertes fermées en cliquant sur Fermées.)
Vous pouvez filtrer les Dependabot alerts dans la liste, avec une variété de filtres ou d’étiquettes. Pour plus d’informations, consultez « Affichage et mise à jour des alertes Dependabot ». Vous pouvez également utiliser des Règles de triage automatique de Dependabot pour filtrer les alertes de faux positifs ou les alertes qui ne vous intéressent pas. Pour plus d’informations, consultez « À propos des règles de triage automatique de Dependabot ».
-
Cliquez sur l’alerte « Injection de commandes dans lodash » dans le fichier
javascript/package-lock.json
. La page de détails de l’alerte affiche les informations suivantes (notez que certaines informations peuvent ne pas s’appliquer à toutes les alertes) :- Indique si Dependabot a créé une demande de tirage qui corrigera la vulnérabilité. Vous pouvez passer en revue la mise à jour de sécurité suggérée en cliquant sur Vérifier la mise à jour de sécurité.
- Package impliqué
- Versions affectées
- Version corrigée
- Brève description de la vulnérabilité
-
Si vous le souhaitez, vous pouvez également explorer les informations situées à droite de la page. Certaines des informations présentées dans la capture d’écran peuvent ne pas s’appliquer à chaque alerte.
- Gravité
- Métriques CVSS : nous utilisons des niveaux CVSS pour attribuer des niveaux de gravité. Pour plus d’informations, consultez « À propos de la base de données GitHub Advisory ».
- Étiquettes
- Points faibles : liste des points faibles publiquement connus liés à la vulnérabilité, le cas échéant
- ID CVE : identificateur CVE unique pour la vulnérabilité, le cas échéant
- ID GHSA : identificateur unique de l’avis correspondant dans la GitHub Advisory Database. Pour plus d’informations, consultez « À propos de la base de données GitHub Advisory ».
- Option permettant d’accéder à l’avis dans la GitHub Advisory Database
- Option permettant de voir tous vos dépôts affectés par cette vulnérabilité
- Option permettant de suggérer des améliorations pour cet avis dans la GitHub Advisory Database
Pour plus d’informations sur l’affichage, la hiérarchisation et le tri des Dependabot alerts, consultez « Affichage et mise à jour des alertes Dependabot ».
Corriger ou ignorer une alerte Dependabot
Vous pouvez corriger ou ignorer des Dependabot alerts sur GitHub. Continuons à utiliser le dépôt dupliqué comme exemple et l’alerte « Injection de commandes dans lodash » décrite dans la section précédente.
- Accédez à l’onglet Dependabot alerts du dépôt. Pour plus d’informations, consultez la section « Affichage des Dependabot alerts pour votre dépôt » ci-dessus.
- Cliquez sur une alerte.
- Cliquez sur l’alerte « Injection de commandes dans lodash » dans le fichier
javascript/package-lock.json
. - Passez en revue l’alerte. Vous pouvez :
-
Passer en revue la mise à jour de sécurité suggérée en cliquant sur Vérifier la mise à jour de sécurité. Cette action ouvre la demande de tirage générée par Dependabot avec le correctif de sécurité.
- Dans la description de la demande de tirage, vous pouvez cliquer sur Commits pour explorer les commits inclus dans la demande de tirage.
- Vous pouvez également cliquer sur Commandes et options de Dependabot afin de découvrir les commandes que vous pouvez utiliser pour interagir avec la demande de tirage.
- Quand vous êtes prêt à mettre à jour votre dépendance et à résoudre la vulnérabilité, fusionnez la demande de tirage.
-
Si vous décidez que vous souhaitez ignorer l’alerte
-
Revenez à la page des détails de l’alerte.
-
Dans le coin supérieur droit, cliquez sur Ignorer l’alerte.
-
Sélectionnez la raison pour laquelle vous souhaitez ignorer l’alerte.
-
Si vous le souhaitez, ajoutez un commentaire de l’action Ignorer. Le commentaire de l’action Ignorer est ajouté à la chronologie des alertes et peut être utilisé comme justification lors de l’audit et de la création de rapports.
-
Cliquez sur Ignorer l’alerte. L’alerte disparaît de l’onglet Ouvertes de la liste des alertes et apparaît sous l’onglet Fermées.
-
-
Pour plus d’informations sur le passage en revue et la mise à jour des Dependabot alerts, consultez « Affichage et mise à jour des alertes Dependabot ».
Résolution des problèmes
Vous devrez peut-être effectuer une résolution des problèmes si :
- Dependabot ne peut pas créer une demande de tirage pour corriger une alerte, ou
- Les informations signalées par Dependabot ne correspondent pas à vos attentes.
Pour plus d’informations, consultez « Résolution des erreurs Dependabot » et « Résolution des problèmes de détection des dépendances vulnérables »,"respectivement.
Étapes suivantes
Pour plus d’informations sur la configuration des mises à jour Dependabot, consultez « Configuration des mises à jour de sécurité Dependabot » et « Configuration de mises à jour de version Dependabot ».
Pour plus d’informations sur la configuration de Dependabot pour une organisation, consultez « Configuration d’alertes Dependabot ».
Pour plus d’informations sur l’affichage des demandes de tirage ouvertes par Dependabot, consultez « Gestion des demandes de tirage (pull request) pour les mises à jour des dépendances ».
Pour plus d’informations sur les avis de sécurité qui contribuent aux Dependabot alerts, consultez « Exploration des avis de sécurité dans la base de données GitHub Advisory ».
Pour plus d’informations sur la configuration des notifications sur les Dependabot alerts, consultez « Configuration de notifications pour les alertes Dependabot ».