À propos des Dependabot alerts pour les dépendances vulnérables
Une vulnérabilité est un problème dans le code d’un projet qui pourrait être exploité pour altérer la confidentialité, l’intégrité ou la disponibilité du projet ou d’autres projets qui utilisent son code. Les vulnérabilités varient en fonction du type, de la gravité et de la méthode d’attaque.
Dependabot analyse le code lorsqu’un nouvel avis est ajouté à la GitHub Advisory Database ou que le graphique de dépendance d’un dépôt change. Lorsque des dépendances vulnérables sont détectés, des Dependabot alerts sont générées. Pour plus d’informations, consultez « À propos des alertes Dependabot ».
Si vous avez activé Dependabot security updates pour votrer référentiel, l’alerte peut également contenir un lien vers une demande de tirage (pull request) pour mettre à jour le fichier manifeste ou de verrouillage vers la version minimale qui résout la vulnérabilité. Pour plus d’informations, consultez « À propos des mises à jour de sécurité Dependabot ».
Avant de pouvoir activer ou désactiver les Dependabot alerts pour :
- Votre compte personnel
- Votre dépôt
- Votre organisation
Gestion des Dependabot alerts pour votre compte personnel
Les Dependabot alerts pour vos dépôts peuvent être activées ou désactivées par le propriétaire de votre entreprise. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».
Gestion des Dependabot alerts pour votre dépôt
Par défaut, nous informons les personnes disposant des autorisations d’accès en administration dans les référentiels concernés des nouvelles Dependabot alerts. GitHub Enterprise Server ne révèle jamais publiquement les dépendances non sécurisées pour un dépôt. Vous pouvez également rendre les Dependabot alerts visibles pour d’autres personnes ou équipes travaillant sur des référentiels dont vous êtes propriétaire ou sur lesquels vous disposez d’autorisations d’administrateur.
Les Dependabot alerts pour votre dépôt peuvent être activées ou désactivées par le propriétaire de votre entreprise. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».
Gestion des Dependabot alerts pour votre organisation
Dependabot alerts pour votre organisation peut être activée ou désactivée par le propriétaire de l’entreprise. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».