{"meta":{"title":"Configuration des mises à jour de sécurité Dependabot","intro":"Vous pouvez utiliser Dependabot security updates ou des pull requests manuelles pour mettre à jour facilement les dépendances vulnérables.","product":"Sécurité et qualité du code","breadcrumbs":[{"href":"/fr/code-security","title":"Sécurité et qualité du code"},{"href":"/fr/code-security/how-tos","title":"Guides pratiques"},{"href":"/fr/code-security/how-tos/secure-your-supply-chain","title":"Sécuriser votre chaîne d’approvisionnement"},{"href":"/fr/code-security/how-tos/secure-your-supply-chain/secure-your-dependencies","title":"Sécurisez vos dépendances"},{"href":"/fr/code-security/how-tos/secure-your-supply-chain/secure-your-dependencies/configuring-dependabot-security-updates","title":"Configurer les mises à jour de sécurité"}],"documentType":"article"},"body":"# Configuration des mises à jour de sécurité Dependabot\n\nVous pouvez utiliser Dependabot security updates ou des pull requests manuelles pour mettre à jour facilement les dépendances vulnérables.\n\n\n\n## Gestion Dependabot security updates de vos référentiels\n\nVous pouvez activer ou désactiver Dependabot security updates pour tous les référentiels éligibles appartenant à votre compte personnel ou celui de votre organisation. Pour plus d’informations, consultez [Gestion des fonctionnalités de sécurité et d’analyse](/fr/account-and-profile/setting-up-and-managing-your-personal-account-on-github/managing-personal-account-settings/managing-security-and-analysis-settings-for-your-personal-account) ou [Gestion des paramètres de sécurité et d'analyse pour votre organisation](/fr/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/managing-security-and-analysis-settings-for-your-organization).\n\nVous pouvez également activer ou désactiver Dependabot security updates pour un référentiel individuel.\n\n### Activation ou désactivation Dependabot security updates d’un référentiel individuel\n\n1. Sur GitHub, accédez à la page principale du référentiel.\n2. Sous le nom de votre référentiel, cliquez sur ** Paramètres**. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant **** , puis cliquez sur **Paramètres**.\n\n ![Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.](/assets/images/help/repository/repo-actions-settings.png)\n3. Dans la section « Sécurité » de la barre latérale, cliquez sur ** Advanced Security**.\n4. À droite de «Dependabot mises à jour de sécurité », cliquez sur **Activer** pour activer la fonctionnalité ou **désactiver** pour la désactiver.\n Pour les référentiels publics, le bouton est désactivé si la fonctionnalité est toujours activée.\n\n## Regroupement de Dependabot security updates en une seule pull request\n\nPour utiliser le regroupement des mises à jour de sécurité, vous devez d’abord activer les fonctionnalités suivantes :\n\n* **Graphique des dépendances**. Pour plus d’informations, consultez « [Activation du graphe de dépendances](/fr/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-the-dependency-graph) ».\n\n***\n\n```\n Dependabot alerts\n **. Pour plus d’informations, consultez « [AUTOTITLE](/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts) ».\n```\n\n***\n\n```\n Dependabot security updates\n **. Pour plus d’informations, consultez « [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates) ».\n```\n\n> \\[!NOTE]\n> Lorsque les mises à jour de sécurité groupées sont activées pour la première fois, Dependabot essaiera immédiatement de créer des requêtes d'extraction groupées. Vous remarquerez peut-être Dependabot la fermeture des anciennes pull requests et l’ouverture de nouvelles.\n\nVous pouvez activer les demandes de tirage (pull requests) groupées pour Dependabot security updates d’une ou des deux manières suivantes.\n\n* Pour regrouper autant de mises à jour de sécurité disponibles que possible, à travers les répertoires et par écosystème, activez le regroupement dans les paramètres « Advanced Security » pour votre référentiel, ou dans les « Paramètres globaux » sous Advanced Security pour votre organisation.\n* Pour un contrôle plus précis du regroupement, tel que le regroupement par nom de package, par dépendance de développement/production ou par niveau SemVer, ou à travers plusieurs répertoires par écosystème, ajoutez des options de configuration au fichier de configuration `dependabot.yml` dans votre référentiel.\n\n> \\[!NOTE]\n> Si vous avez configuré des règles de groupe pour Dependabot security updates dans un fichier `dependabot.yml`, toutes les mises à jour disponibles sont regroupées en fonction des règles que vous avez spécifiées. Dependabot regroupe uniquement les annuaires non configurés dans votre `dependabot.yml` si le paramètre des correctifs de sécurité groupés au niveau de l’organisation ou du référentiel est également activé.\n\n### Activation ou désactivation du regroupement de Dependabot security updates pour un référentiel individuel\n\n1. Sur GitHub, accédez à la page principale du référentiel.\n2. Sous le nom de votre référentiel, cliquez sur ** Paramètres**. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant **** , puis cliquez sur **Paramètres**.\n\n ![Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.](/assets/images/help/repository/repo-actions-settings.png)\n3. Dans la section « Sécurité » de la barre latérale, cliquez sur ** Advanced Security**.\n4. Sous «Dependabot », à droite de « Mises à jour de sécurité groupées », cliquez sur **Activer** pour activer la fonctionnalité ou **désactiver** pour la désactiver.\n\n### Activation ou désactivation d’un regroupement Dependabot security updates pour une organisation\n\n```\n Vous pouvez activer le regroupement Dependabot security updates en une seule pull request. Pour plus d’informations, consultez « [AUTOTITLE](/code-security/securing-your-organization/enabling-security-features-in-your-organization/configuring-global-security-settings-for-your-organization#grouping-dependabot-security-updates) ».\n```\n\n## Substitution du comportement par défaut avec un fichier de configuration\n\nVous pouvez remplacer le comportement par défaut en Dependabot security updates ajoutant un `dependabot.yml` fichier à votre référentiel. Avec un fichier `dependabot.yml`, vous pouvez exercer un contrôle plus précis sur le regroupement et outrepasser le comportement par défaut des paramètres Dependabot security updates.\n\nUtilisez l'option `groups` avec la clé `applies-to: security-updates` pour créer des ensembles de dépendances (par gestionnaire de paquet), afin que Dependabot ouvre une requête de tirage unique pour mettre à jour plusieurs dépendances en même temps. Vous pouvez définir des groupes par nom de paquet (clés `patterns` et `exclude-patterns`), par type de dépendance (clé `dependency-type`) et par version SemVer (clé `update-types`).\n\nDependabot crée des groupes dans l'ordre où ils apparaissent dans votre fichier `dependabot.yml`. Si une mise à jour de dépendance peut appartenir à plusieurs groupes, elle n’est affectée qu’au premier groupe avec lequel elle correspond.\n\nSi vous avez uniquement besoin de mises à jour de *sécurité* et souhaitez exclure les mises à jour de *version*, vous pouvez définir `open-pull-requests-limit` sur `0` afin d’empêcher les mises à jour de version pour un `package-ecosystem` donné.\n\nPour plus d’informations sur les options de configuration disponibles pour les mises à jour de sécurité, consultez [Personnalisation des demandes de tirage pour les mises à jour de sécurité de Dependabot](/fr/code-security/dependabot/dependabot-security-updates/customizing-dependabot-security-prs).\n\n```yaml copy\n# Example configuration file that:\n# - Has a private registry\n# - Ignores lodash dependency\n# - Disables version-updates\n# - Defines a group by package name, for security updates for golang dependencies\n\nversion: 2\nregistries:\n example:\n type: npm-registry\n url: https://example.com\n token: ${{secrets.NPM_TOKEN}}\nupdates:\n - package-ecosystem: \"npm\"\n directory: \"/src/npm-project\"\n schedule:\n interval: \"daily\"\n # For Lodash, ignore all updates\n ignore:\n - dependency-name: \"lodash\"\n # Disable version updates for npm dependencies\n open-pull-requests-limit: 0\n registries:\n - example\n - package-ecosystem: \"gomod\"\n directories:\n - \"**/*\"\n schedule:\n interval: \"weekly\"\n open-pull-requests-limit: 0\n groups:\n golang:\n applies-to: security-updates\n patterns:\n - \"golang.org*\"\n```\n\n> \\[!NOTE]\n> Pour Dependabot pouvoir utiliser cette configuration pour les mises à jour de sécurité, il `directory` doit s’agir du chemin d’accès aux fichiers manifestes (ou `directories` doit contenir des chemins d’accès ou des modèles glob correspondant aux emplacements des fichiers manifestes), et vous ne devez pas spécifier un `target-branch`.\n\n## Lectures complémentaires\n\n* [À propos des alertes Dependabot](/fr/code-security/dependabot/dependabot-alerts/about-dependabot-alerts)\n* [Configuration d’alertes Dependabot](/fr/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts)\n* [Écosystèmes de packages pris en charge par le graphe des dépendances](/fr/code-security/supply-chain-security/understanding-your-software-supply-chain/dependency-graph-supported-package-ecosystems#supported-package-ecosystems)"}