Gestion de votre sécurité des dépendances

Vous pouvez créer vos propres Règles de triage automatique pour contrôler les alertes qui sont ignorées ou temporairement désactivées, et les alertes pour lesquelles vous souhaitez que Dependabot ouvre des demandes de tirage.

Vous pouvez utiliser Présélections GitHub, qui sont des règles élaborées par GitHub, afin de rejeter automatiquement les alertes de faible impact liées aux dépendances npm utilisées en développement.

Découvrez comment personnaliser les demandes de tirage de Dependabot pour les mises à jour de sécurité afin de s’aligner sur les priorités et les flux de travail de sécurité de votre projet.

Vous pouvez configurer votre référentiel dependabot.yml de sorte que Dependabot mette automatiquement à jour les packages que vous spécifiez, de la manière que vous définissez.

Vous pouvez utiliser action de révision des dépendances pour détecter des vulnérabilités avant qu’elles ne soient ajoutées à votre projet.

Customize and configure features for dependency management.

Optimisez la façon dont vous recevez les notifications concernant les Dependabot alerts.

Vous pouvez configurer Dependabot pour accéder aux dépendances stockées dans des registres privés. Vous pouvez stocker des informations d’authentification, telles que des mots de passe et des jetons d’accès, en tant que secrets chiffrés, puis les référencer dans le fichier de configuration Dependabot.

Exemples de configuration de Dependabot pour accéder uniquement aux registres privés en supprimant les appels aux registres publics.

Vous gérez les demandes de tirage déclenchées par Dependabot de la même façon que d’autres demandes de tirage, mais il existe des options supplémentaires.

Vous pouvez afficher les dépendances que Dependabot supervise pour les mises à jour.

Cet article contient des informations détaillées sur la configuration des registres privés, ainsi que des commandes que vous pouvez exécuter à partir de la ligne de commande pour configurer vos gestionnaires de packages localement.