Mettre en œuvre les alertes GitHub Dependabot et les mises à jour de sécurité
Alertes
GitHub Dependabot détecte les dépendances vulnérables et envoie des alertes Dependabot à leur sujet dans plusieurs situations :
- Une nouvelle vulnérabilité est ajoutée à la base de données GitHub Advisory.
- Les nouvelles données de vulnérabilité de Mend sont traitées.
- Le graphique de dépendance d’un référentiel change.
Par défaut, les alertes sont détectées dans les référentiels publics, mais elles peuvent être activées pour d’autres référentiels.
Les notifications peuvent être envoyées via des mécanismes de notification GitHub standard.
Pour plus d’informations sur les alertes Dependabot, consultez À propos des alertes pour les dépendances vulnérables.
Pour plus d’informations sur les packages fournis qui peuvent générer des alertes, consultez Écosystèmes de packages pris en charge.
Pour plus d’informations sur les notifications, consultez Configuration des notifications.
Mises à jour de sécurité
Un avantage clé des mises à jour de sécurité de Dependabot est qu'elles peuvent créer automatiquement des demandes de tirage (pull requests).
Un développeur peut ensuite passer en revue la mise à jour suggérée et trier les éléments requis pour l’incorporer.
Pour plus d’informations sur les mises à jour de sécurité automatiques, consultez À propos des mises à jour de sécurité GitHub Dependabot.