Gestion de votre sécurité des dépendances

Vous pouvez créer vos propres Règles de triage automatique pour contrôler quelles alertes sont ignorées ou reportées, et pour lesquelles vous souhaitez que Dependabot ouvre des requêtes de tirage.

Concentrez-vous sur les alertes qui importent en supprimant automatiquement les alertes de développement à faible impact pour les dépendances npm.

Découvrez comment personnaliser les demandes de tirage de Dependabot pour les mises à jour de sécurité afin de s’aligner sur les priorités et les flux de travail de sécurité de votre projet.

Découvrez comment configurer votre dependabot.yml fichier afin de mettre Dependabot automatiquement à jour les packages que vous spécifiez, de la façon dont vous définissez.

Vous pouvez utiliser la action de révision des dépendances fonctionnalité pour intercepter les vulnérabilités avant qu’elles ne soient ajoutées à votre projet.

Optimisez la façon dont vous recevez des notifications sur Dependabot alerts.

Vous pouvez configurer Dependabot pour accéder aux dépendances stockées dans des registres privés. Vous pouvez stocker des informations d’authentification, telles que des mots de passe et des jetons d’accès, en tant que secrets chiffrés, puis les référencer dans le Dependabot fichier de configuration. Si vous avez des registres sur des réseaux privés, vous pouvez également configurer Dependabot l’accès lors de l’exécution Dependabot sur des exécuteurs auto-hébergés.

Exemples de configuration Dependabot permettant d’accéder uniquement aux registres privés en supprimant les appels aux registres publics.

Vous gérez les pull requests créées par Dependabot à peu près de la même façon que les autres pull requests, mais des options supplémentaires sont disponibles.

Activer Dependabot sur GitHub-hosted runners pour identifier plus facilement les erreurs de tâches Dependabot et détecter manuellement les échecs d'exécution.

Vous pouvez configurer les exécuteurs auto-hébergés que Dependabot utilise pour accéder à vos registres privés et à vos ressources réseau internes.

Résolvez les échecs d’exécution et mettez à jour manuellement vos dépendances en réexécutant Dependabot des travaux.

Vous pouvez afficher les dépendances que Dependabot surveille pour les mises à jour.

Cet article contient des informations détaillées sur la configuration des registres privés, ainsi que des commandes que vous pouvez exécuter à partir de la ligne de commande pour configurer vos gestionnaires de packages localement.