GitHub a remanié son analyseur de dépendances Dependabot afin de le rendre plus facile à utiliser. Entre autres, les alertes Dependabot, les alertes de sécurité émises par l’outil, devraient désormais être plus compréhensibles et plus faciles à rechercher. De plus, pour les clients d’entreprise utilisant GitHub Advanced Security, toutes les alertes Dependabot au niveau de l’organisation sont désormais disponibles dans l’interface utilisateur. Sécurité de l’organisation-sera visible dans l’onglet. En revanche, les alertes Dependabot et les pull requests au niveau du référentiel devraient rester accessibles gratuitement pour toujours, assure GitHub.
Sommaire
Nouveautés pour les alertes Dependabot
Les alertes Dependabot n’apparaissent plus regroupées par paquets, mais une alerte par Advisory et Dependency Manifest apparaît. Ainsi, les alertes individuelles doivent pouvoir révéler plus d’informations en un coup d’œil. Il s’agit notamment de titres d’alertes plus pertinents, d’informations détaillées sur la gravité de la faille de sécurité et d’informations actualisées sur les demandes d’extraction qui y sont liées. Même après la correction d’une alerte, celle-ci reste dans la liste des alertes. Closed-dans l’interface utilisateur. À l’avenir, il devrait être possible de rouvrir des alertes rejetées.
(Image : Microsoft)
En outre, la recherche d’alertes Dependabot doit être simplifiée par le fait que chaque alerte possède un identifiant numérique unique. Celui-ci devrait bientôt être disponible via l’API GraphQL. La page d’index des alertes offre également de nouvelles options de filtrage, y compris une recherche plein texte dans les alertes.
Fonctionnement du scanner de dépendances
En 2019, GitHub a fait l’acquisition de l’outil Dependabot et l’a intégré à sa plateforme. Dependabot a pour but d’émettre des alertes pour les dépôts lorsque des failles de sécurité apparaissent dans les dépendances. Dependabot obtient les informations à ce sujet de différentes sources, par exemple de la GitHub Advisory Database. Cette base de données consiste en une liste de failles de sécurité classées selon que GitHub les a examinées ou non. Seules les failles de sécurité ayant fait l’objet d’une révision par GitHub sont intégrées dans le Dependabot.
Une autre source d’information pour Dependabot est le Dependency Graph. Si celui-ci indique des modifications dans un référentiel, un avertissement Dependabot apparaît également. Un tel changement est par exemple considéré comme une modification du code de l’une des dépendances.
De plus amples informations sur le fonctionnement du Dependabot sont disponibles dans la documentation. Les nouveautés actuelles sont présentées dans une entrée de blog GitHub.