Configuring notifications for Dependabot alerts

Optimize how you receive notifications about Dependabot alerts.

Dans cet article

About notifications for Dependabot alerts

When Dependabot detects vulnerable dependencies in your repositories, we generate a Dependabot alert and display it on the Security tab for the repository. GitHub notifies the maintainers of affected repositories about the new alert according to their notification preferences. Dependabot is enabled by default on all public repositories, and needs to be enabled on private repositories. By default, you will receive Dependabot alerts by email. You can override the default overall behavior by choosing the type of notifications you want to receive, or switching notifications off altogether in the settings page for your user notifications at https://github.com/settings/notifications.

Dependabot ne génère pas de Dependabot alerts pour les programmes malveillants. Pour plus d’informations, consultez « À propos de la base de données GitHub Advisory ».

Regardless of your notification preferences, when Dependabot is first enabled, GitHub does not send notifications for all vulnerable dependencies found in your repository. Instead, you will receive notifications for new vulnerable dependencies identified after Dependabot is enabled, if your notification preferences allow it.

If you're an organization owner, you can enable or disable Dependabot alerts for all repositories in your organization with one click. You can also set whether Dependabot alerts will be enabled or disabled for newly-created repositories. For more information, see Gestion des paramètres de sécurité et d'analyse pour votre organisation.

Configuring notifications for Dependabot alerts

When a new Dependabot alert is detected, GitHub notifies all users with access to Dependabot alerts for the repository according to their notification preferences. You will receive alerts if you are watching the repository, have enabled notifications for security alerts or for all the activity on the repository, and are not ignoring the repository. For more information, see Configuration des notifications.

You can configure notification settings for yourself or your organization from the Manage notifications drop-down shown at the top of each page. For more information, see Configuration des notifications.

Vous pouvez choisir la méthode de remise des notifications, ainsi que la fréquence à laquelle elles sont envoyées. Par défaut, vous recevez des notifications :

  • Dans votre boîte de réception : sous forme de notifications web. Une notification web est envoyée lorsque Dependabot est activé pour un dépôt, lorsqu’un nouveau fichier manifeste est commité dans le dépôt et lorsqu’une nouvelle vulnérabilité avec un niveau de gravité critique ou élevé est détectée (option Sur GitHub ).
  • Par courrier électronique. Un e-mail est envoyé lorsque Dependabot est activé pour un référentiel, lorsqu’un nouveau fichier manifeste est engagé dans le référentiel et lorsqu’une nouvelle vulnérabilité avec un niveau de gravité critique ou élevé est détectée (option E-mail).
  • Sur la ligne de commande. Des avertissements s’affichent sous forme de rappels lorsque vous effectuez un envoi vers des référentiels ayant des dépendances non sécurisées (option CLI).
  • Sur GitHub Mobile, comme notifications Web. Pour plus d’informations, consultez « Configuration des notifications ».

Remarque

Les notifications/GitHub Mobile par e-mail et web sont les suivantes :

  • Par référentiel lorsque Dependabot est activé sur le référentiel ou lorsqu’un nouveau fichier manifeste est validé dans le référentiel.
  • Par organisation lorsqu’une nouvelle vulnérabilité est découverte.
  • Envoyé lorsqu’une nouvelle vulnérabilité est découverte. GitHub n’envoie pas de notifications lorsque les vulnérabilités sont mises à jour.

Vous pouvez personnaliser la façon dont vous êtes averti concernant les Dependabot alerts. Par exemple, vous pouvez recevoir un e-mail de synthèse quotidien ou hebdomadaire récapitulant les alertes concernant jusqu’à 10 de vos dépôts à l’aide de l’option Condensé des e-mails hebdomadaires.

Screenshot of the notification options for Dependabot alerts. A dropdown menu with frequency options is outlined in orange.

Remarque

You can filter your notifications on GitHub to show Dependabot alerts. For more information, see Gestion des notifications à partir de votre boîte de réception.

Les notifications par e-mail des Dependabot alerts qui affectent un ou plusieurs dépôts incluent le champ d’en-tête X-GitHub-Severity. Vous pouvez utiliser la valeur du champ d’en-tête X-GitHub-Severity pour filtrer les notifications par e-mail des Dependabot alerts. For more information, see Configuration des notifications.

How to reduce the noise from notifications for Dependabot alerts

If you are concerned about receiving too many notifications for Dependabot alerts, we recommend leveraging Règles de triage automatique de Dependabot to auto-dismiss low-risk alerts. Rules are applied before alert notifications are sent, so alerts that are auto-dismissed upon creation do not send notifications. For more information, see À propos des règles de triage automatique de Dependabot.

Alternatively, you can opt into the weekly email digest, or even completely turn off notifications while keeping Dependabot alerts enabled. You can still navigate to see your Dependabot alerts in your repository's Security tab. For more information, see Affichage et mise à jour des alertes Dependabot.

Further reading