Mises à jour de sécurité Dependabot

Dependabot peut corriger pour vous les dépendances vulnérables en créant des pull requests contenant des mises à jour de sécurité.

Qui peut utiliser cette fonctionnalité ?

Dependabot security updates est disponible pour les dépôts suivants :

  • Tous les dépôts sur GitHub

Dans cet article

À propos de Dependabot security updates

Dependabot security updates facilitez la résolution des dépendances vulnérables dans votre référentiel.

Si vous activez Dependabot security updates, lorsqu’une Dependabot alerte est déclenchée pour une dépendance vulnérable dans le graphique de dépendances de votre référentiel, Dependabot tente automatiquement de la corriger. Pour plus d’informations, consultez « Dependabot alerts » et « Configuration des mises à jour de sécurité Dependabot ».

Vous pouvez ajouter un fichier de configuration dependabot.yml à votre dépôt pour personnaliser le comportement de Dependabot, notamment les calendriers de mise à jour, les paramètres des demandes de tirage (pull requests) et les dépendances à surveiller. Pour plus d’informations, consultez « À propos du fichier dependabot.yml ». Vous configurez ensuite des options dans ce fichier pour savoir Dependabot comment sécuriser les dépendances sur lesquelles votre référentiel s’appuie.

Pour plus d’informations sur les écosystèmes et référentiels pris en charge, consultez Écosystèmes et référentiels pris en charge par Dependabot.

Remarque

Il n’y a aucune interaction entre les paramètres spécifiés dans le fichier dependabot.yml et les alertes de sécurité Dependabot, si ce n’est que les alertes seront fermées lorsque les pull requests associées générées par Dependabot pour les mises à jour de sécurité seront fusionnées.

Dependabot signe ses propres commits par défaut, même si la signature des commits n'est pas une exigence pour le référentiel. Pour plus d’informations sur les commits vérifiés, consultez À propos de la vérification des signatures de commit.

Remarque

Lorsque les Dependabot security updates sont activées pour un référentiel, Dependabot tente automatiquement d’ouvrir des demandes de tirage pour résoudre chaque alerte Dependabot ouverte qui a une mise à jour corrective disponible. Si vous préférez personnaliser les alertes pour lesquelles Dependabot ouvre les demandes de tirage, vous devez laisser Dependabot security updates désactivées et créer une règle de triage automatique. Pour plus d’informations, consultez « Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité ».

GitHub peut envoyer Dependabot alerts aux référentiels affectés par une vulnérabilité signalée dans un bulletin de sécurité GitHub récemment publié. Pour plus d’informations, consultez « Exploration des avis de sécurité dans la base de données GitHub Advisory ».

Dependabot vérifie s’il est possible de mettre à niveau la dépendance vulnérable vers une version fixe sans interrompre le graphique des dépendances pour le référentiel. Ensuite, Dependabot crée une pull request pour mettre à jour la dépendance vers la version minimale qui inclut le correctif et lie la pull request à l’alerte Dependabot, ou signale une erreur sur l’alerte. Pour plus d’informations, consultez « Erreurs de Dependabot ».

La Dependabot security updates fonctionnalité est disponible pour les référentiels dans lesquels vous avez activé le graphique de dépendances et Dependabot alerts. Vous verrez une Dependabot alerte pour chaque dépendance vulnérable identifiée dans votre graphique de dépendances complet. Toutefois, les mises à jour de sécurité sont déclenchées uniquement pour les dépendances spécifiées dans un manifeste ou un fichier de verrouillage. Pour plus d’informations, consultez « Graphe de dépendances ».

Remarque

Pour npm, Dependabot créera une pull request pour mettre à jour une dépendance explicitement définie vers une version sûre, même si cela implique de mettre à jour la dépendance parente ou les dépendances parentes, voire de supprimer une sous-dépendance qui n’est plus nécessaire à la dépendance parente. Pour d’autres écosystèmes, Dependabot il est impossible de mettre à jour une dépendance indirecte ou transitive si elle nécessiterait également une mise à jour de la dépendance parente. Pour plus d’informations, consultez « Erreurs de Dependabot ».

Vous pouvez activer une fonctionnalité associée, Dependabot version updates, afin que Dependabot crée des pull requests pour mettre à jour le manifeste avec la dernière version de la dépendance chaque fois que Dependabot détecte une dépendance obsolète. Pour plus d’informations, consultez « Mises à jour des versions Dependabot ».

Quand Dependabot déclenche des demandes de tirage, celles-ci peuvent concerner des mises à jour de sécurité ou de version :

  • Les Dependabot security updates sont des demandes de tirage automatisées qui vous aident à mettre à jour les dépendances qui ont des vulnérabilités connues.
  • Les Dependabot version updates sont des demandes de tirage automatisées qui tiennent à jour les dépendances, même si elles ne présentent aucune vulnérabilité. Pour vérifier l’état des mises à jour de version, accédez à l’onglet Insights de votre référentiel, puis sélectionnez Graphe des dépendances et Dependabot.

Si vous activez Dependabot security updates, certaines parties de la configuration peuvent également affecter les demandes de tirage créées pour Dependabot version updates. En effet, certains paramètres de configuration sont communs aux deux types de mises à jour. Pour plus d’informations, consultez « Personnalisation des demandes de tirage pour les mises à jour de sécurité de Dependabot ».

Les demandes de tirage ouvertes par Dependabot peuvent déclencher des workflows qui exécutent des actions. Pour plus d’informations, consultez Automatisation de Dependabot avec GitHub Actions.

Les Dependabot security updates peuvent corriger les dépendances vulnérables dans GitHub Actions. Lorsque les mises à jour de sécurité sont activées, Dependabot déclenche automatiquement une demande de tirage pour mettre à jour les GitHub Actions vulnérables utilisées dans vos workflows vers la version corrigée minimale.

À propos des correctifs de sécurité groupés

Afin de réduire davantage le nombre de demandes d’extraction que vous pourriez voir, vous pouvez activer les mises à jour de sécurité groupées pour regrouper des ensembles de dépendances (par écosystème de packages). Dependabot crée ensuite une pull request unique pour mettre à jour autant de dépendances vulnérables que possible dans le groupe vers des versions sûres en même temps.

Pour les mises à jour de sécurité, Dependabot regroupe uniquement les dépendances de différents répertoires par écosystème dans certaines conditions et configurations. Dependabot ne regroupe pas les dépendances de différents écosystèmes de packages, et elle ne regroupe pas les mises à jour de sécurité avec les mises à jour de version.

Vous pouvez activer les pull requests groupées pour Dependabot security updates de l'une des manières suivantes ou des deux.

  • Pour regrouper autant de mises à jour de sécurité disponibles que possible, entre les répertoires et par écosystème, activez le regroupement dans les paramètres «Advanced Security » de votre référentiel ou dans « Paramètres globaux » sous Advanced Security votre organisation.
  • Pour un contrôle plus précis du regroupement, tel que le regroupement par nom de package, par dépendance de développement/production ou par niveau SemVer, ou à travers plusieurs répertoires par écosystème, ajoutez des options de configuration au fichier de configuration dependabot.yml dans votre référentiel.

Remarque

Si vous avez configuré des règles de groupe pour Dependabot security updates dans un fichier dependabot.yml, toutes les mises à jour disponibles sont regroupées en fonction des règles que vous avez spécifiées. Dependabot regroupe uniquement les annuaires non configurés dans votre dependabot.yml si le paramètre des correctifs de sécurité groupés au niveau de l’organisation ou du référentiel est également activé.

Pour plus d’informations, consultez « Configuration des mises à jour de sécurité Dependabot ».

À propos des scores de compatibilité

Dependabot security updates peut inclure des scores de compatibilité pour vous indiquer si la mise à jour d’une dépendance peut entraîner des changements incompatibles dans votre projet. Ces scores sont calculés à partir des tests CI dans d’autres dépôts publics où la même mise à jour de sécurité a été générée. Le score de compatibilité d’une mise à jour est le pourcentage d’exécutions d’intégrations continues qui ont réussi lors de la mise à jour entre des versions spécifiques de la dépendance.

À propos de la désactivation automatique de Dependabot updates

Lorsque les chargés de la maintenance d’un référentiel cessent d’interagir avec les demandes de tirage de Dependabot, Dependabot suspend temporairement ses mises à jour et vous en informe. Consultez Les pull requests de mise à jour de Dependabot ne sont plus générées.

À propos des notifications pour les Dependabot mises à jour de sécurité

Vous pouvez filtrer vos notifications GitHub pour afficher Dependabot les mises à jour de sécurité. Pour plus d’informations, consultez « Gestion des notifications à partir de votre boîte de réception ».