Alertes de programmes malveillants Dependabot

          Dependabot malware alerts aider à identifier les malwares dans vos dépendances pour protéger votre projet et ses utilisateurs.

Qui peut utiliser cette fonctionnalité ?

Dépôts avec Dependabot alerts activé

Dans cet article

Le logiciel s’appuie souvent sur des packages provenant de différentes sources, créant des relations de dépendance qui peuvent menacer la sécurité de votre projet. Par exemple, les acteurs malveillants peuvent utiliser des paquets malveillants pour exécuter des attaques de logiciels malveillants, accéder à votre code, vos données, vos utilisateurs et vos contributeurs.

Pour sécuriser votre projet, Dependabot vous pouvez vérifier vos dépendances pour les packages malveillants connus, puis créer des alertes avec des étapes de correction suggérées.

Quand Dependabot envoie malware alerts

          Dependabot envoie malware alerts lorsqu’un package dans la branche par défaut de votre référentiel est marqué comme malveillant. Les alertes pour les dépendances existantes sont générées dès que le package est marqué sur le GitHub Advisory Database

Les alertes sont également générées lorsque vous envoyez des validations qui ajoutent un package malveillant connu ou mettent à jour un package vers une version malveillante connue.

Remarque

Si l’écosystème, le nom et la version d’un package interne correspondent à ceux d’un package public malveillant, Dependabot peut générer une fausse alerte positive.

Contenu des alertes

Lorsque Dependabot détecte une dépendance malveillante, un malware alert apparaît dans l’onglet Security and quality du référentiel. Chaque alerte inclut :

  • Lien vers le fichier concerné
  • Détails sur le package malveillant, y compris le nom du package, les versions affectées et la version corrigée (le cas échéant)
  • Étapes de correction

Disponibilité

Actuellement, Dependabot malware alerts sont disponibles pour les packages dans l’écosystème npm.

Notifications d’alerte

Par défaut, GitHub envoie des notifications par e-mail concernant les nouvelles alertes aux personnes qui à la fois :

  • Disposer d’autorisations d’écriture, de maintenance ou d’administrateur dans un référentiel
  • Surveillez le référentiel et avez activé les notifications pour les alertes de sécurité ou pour toutes les activités sur le référentiel

Sur GitHub.com, vous pouvez remplacer le comportement par défaut en choisissant le type de notifications à recevoir ou en désactivant complètement les notifications dans la page paramètres de vos notifications utilisateur à l’adresse https://github.com/settings/notifications.

Si vous êtes préoccupé par la réception d’un trop grand nombre de notifications, nous vous recommandons d’utiliser cette option Règles de triage automatique de Dependabot pour ignorer automatiquement les alertes à faible risque. Consultez « À propos des règles de triage automatique de Dependabot ».

Limites

          Dependabot malware alerts présentent certaines limitations :

  • Les alertes ne peuvent pas intercepter chaque problème de sécurité. Passez toujours en revue vos dépendances et conservez le manifeste et les fichiers de verrouillage à jour pour une détection précise.

  • De nouveaux logiciels malveillants peuvent mettre du temps à apparaître dans le GitHub Advisory Database et déclencher des alertes.

  • Seuls les avis examinés par GitHub déclenchent des alertes.

  •         Dependabot n’analyse pas les dépôts archivés.

  • Pour GitHub Actions, les alertes sont générées uniquement pour les actions qui utilisent le contrôle de version sémantique, et non le contrôle de version SHA.

            GitHub ne divulgue jamais publiquement les dépendances malveillantes pour n’importe quel référentiel.

Étapes suivantes

Pour commencer à protéger votre projet contre les dépendances malveillantes, consultez Configuration des alertes de programmes malveillants Dependabot.