{"meta":{"title":"À propos des alertes Dependabot","intro":"Dependabot alerts vous aider à trouver et à corriger les dépendances vulnérables avant qu’elles ne deviennent des risques de sécurité.","product":"Sécurité et qualité du code","breadcrumbs":[{"href":"/fr/code-security","title":"Sécurité et qualité du code"},{"href":"/fr/code-security/concepts","title":"Concepts"},{"href":"/fr/code-security/concepts/supply-chain-security","title":"Sécurité de la chaîne d’approvisionnement"},{"href":"/fr/code-security/concepts/supply-chain-security/about-dependabot-alerts","title":"Alertes Dependabot"}],"documentType":"article"},"body":"# À propos des alertes Dependabot\n\nDependabot alerts vous aider à trouver et à corriger les dépendances vulnérables avant qu’elles ne deviennent des risques de sécurité.\n\nLe logiciel s’appuie souvent sur des packages provenant de différentes sources, créant des relations de dépendances qui peuvent inconsciemment introduire des vulnérabilités de sécurité. Lorsque votre code dépend de packages avec des vulnérabilités de sécurité connues, vous devenez une cible pour les attaquants qui cherchent à exploiter votre système, ce qui peut obtenir l’accès à votre code, vos données, vos clients ou vos contributeurs.\nDependabot alerts informez-vous des dépendances vulnérables afin de pouvoir effectuer une mise à niveau vers des versions sécurisées et protéger votre projet.\n\n## Quand Dependabot envoie des alertes\n\n```\n          Dependabot analyse la branche par défaut de votre référentiel et envoie des alertes quand :\n```\n\n* Une nouvelle vulnérabilité est ajoutée au GitHub Advisory Database\n* Votre graphe des dépendances change (par exemple, lorsque vous poussez des commits qui mettent à jour des packages ou des versions)\n\nPour les écosystèmes pris en charge, consultez [Écosystèmes de packages pris en charge par le graphe des dépendances](/fr/code-security/supply-chain-security/understanding-your-software-supply-chain/dependency-graph-supported-package-ecosystems#supported-package-ecosystems).\n\n## Comprendre les alertes\n\nLorsque GitHub détecte une dépendance vulnérable, une Dependabot alerte s’affiche dans la section des dépendances et le graphique du référentiel **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Security and quality**. Chaque alerte inclut :\n\n* Lien vers le fichier concerné\n* Détails sur la vulnérabilité et sa gravité\n* Informations sur une version fixe (le cas échéant)\n\nPour plus d’informations sur l’affichage et la gestion des alertes, consultez [Affichage et mise à jour des alertes Dependabot](/fr/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts).\n\n## Qui peut activer les alertes ?\n\nLes administrateurs de dépôts et les propriétaires d’organisations peuvent activer Dependabot alerts pour leurs dépôts  et organisations. Lorsque cette option est activée, GitHub génère immédiatement le graphique de dépendances et crée des alertes pour toutes les dépendances vulnérables qu’elle identifie.\nLes administrateurs de référentiel peuvent accorder l’accès à d’autres personnes ou équipes.\n\nConsultez [Configuration d’alertes Dependabot](/fr/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts).\n\n## Propriété et affectations d’alerte\n\nLes utilisateurs disposant d’un accès en écriture ou plus peuvent affecter Dependabot alerts à des collaborateurs de référentiel, à des équipes, ou Copilot pour établir une propriété claire pour la correction des vulnérabilités. Les affectations permettent de suivre qui est responsable de chaque alerte et d’empêcher les vulnérabilités d’être ignorées.\n\nLorsqu’une alerte est affectée, le bénéficiaire reçoit une notification et l’alerte affiche son nom dans la liste des alertes. Vous pouvez filtrer les alertes par le destinataire pour suivre la progression. L’attribution d’une alerte à Copilot génère automatiquement un correctif et ouvre une demande de pull request à l'état de brouillon pour révision.\n\nPour plus d’informations sur l’attribution d’alertes, consultez [Affichage et mise à jour des alertes Dependabot](/fr/code-security/how-tos/manage-security-alerts/manage-dependabot-alerts/viewing-and-updating-dependabot-alerts#viewing-and-prioritizing-dependabot-alerts).\n\n## Fonctionnement des notifications d’alerte\n\nPar défaut, GitHub envoie des notifications par e-mail concernant les nouvelles alertes aux personnes qui à la fois :\n\n* Disposer d’autorisations d’écriture, de maintenance ou d’administrateur dans un référentiel\n* Surveillez le référentiel et avez activé les notifications pour les alertes de sécurité ou pour toutes les activités sur le référentiel\n\nVous pouvez remplacer le comportement par défaut en choisissant le type de notifications à recevoir ou en désactivant complètement les notifications dans la page paramètres de vos notifications utilisateur à l’adresse <https://github.com/settings/notifications>.\n\nQuelles que soient vos préférences de notification, quand elle Dependabot est activée pour la première fois, GitHub n’envoie pas de notifications pour toutes les dépendances vulnérables trouvées dans votre référentiel. Au lieu de cela, vous recevrez des notifications pour les nouvelles dépendances vulnérables identifiées après Dependabot avoir été activées, si vos préférences de notification l’autorisent.\n\nSi vous êtes préoccupé par la réception d’un trop grand nombre de notifications, nous vous recommandons d’utiliser cette option Règles de triage automatique de Dependabot pour ignorer automatiquement les alertes à faible risque. Les règles sont appliquées avant l’envoi des notifications d’alerte. Par conséquent, les alertes qui sont automatiquement ignorées lors de leur création n’envoient pas de notifications. Consultez [À propos des règles de triage automatique de Dependabot](/fr/code-security/dependabot/dependabot-auto-triage-rules/about-dependabot-auto-triage-rules).\n\nVous pouvez également opter pour la synthèse hebdomadaire des e-mails, ou même désactiver complètement les notifications tout en gardant Dependabot alerts activé.\n\n## Limites\n\n```\n          Dependabot alerts présentent certaines limitations :\n```\n\n* Les alertes ne peuvent pas intercepter chaque problème de sécurité. Passez toujours en revue vos dépendances et conservez le manifeste et les fichiers de verrouillage à jour pour une détection précise.\n* De nouvelles vulnérabilités peuvent mettre du temps à apparaître dans le GitHub Advisory Database et à déclencher des alertes.\n* Seuls les avis examinés par GitHub déclenchent des alertes.\n* Dependabot n’analyse pas les dépôts archivés.\n* Pour GitHub Actions, les alertes sont générées uniquement pour les actions qui utilisent le contrôle de version sémantique, et non le contrôle de version SHA.\n\n  ```\n          GitHub ne divulgue jamais publiquement les vulnérabilités d’un dépôt. \n  ```\n\n## Lectures complémentaires\n\n* [Alertes de programmes malveillants Dependabot](/fr/code-security/concepts/supply-chain-security/dependabot-malware-alerts)\n* [Affichage et mise à jour des alertes Dependabot](/fr/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)\n* [À propos des mises à jour de sécurité Dependabot](/fr/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates)\n* [Audit des alertes de sécurité](/fr/code-security/getting-started/auditing-security-alerts)"}