About Règles de triage automatique de Dependabot
Règles de triage automatique de Dependabot allow you to instruct Dependabot to automatically triage Dependabot alerts. You can use Règles de triage automatique to automatically dismiss or snooze certain alerts, or specify the alerts you want Dependabot to open pull requests for. Rules are applied before alert notifications are sent, so enabling rules that auto-dismiss low-risk alerts will prevent notification noise from future matching alerts.
There are two types of Règles de triage automatique de Dependabot:
- Présélections GitHub
- Règles de triage automatique personnalisées
About Présélections GitHub
Remarque
Les Présélections GitHub pour Dependabot alerts sont des règles disponibles pour tous les dépôts.
Présélections GitHub are rules curated by GitHub. Dismiss low impact issues for development-scoped dependencies est une règle prédéfinie pour GitHub. Cette règle ignore automatiquement certains types de vulnérabilités trouvées dans les dépendances npm utilisées dans le cadre du développement. La règle a été organisée de manière à réduire les faux positifs et la fatigue des alertes. Vous ne pouvez pas modifier Présélections GitHub. Pour plus d’informations sur Présélections GitHub, consultez Utilisation de règles prédéfinies GitHub pour classer les alertes Dependabot par ordre de priorité.
The rule is enabled by default for public repositories and can be opted into for private repositories. You can enable the rule for a private repository via the Settings tab for the repository. For more information, see Enabling the Dismiss low impact issues for development-scoped dependencies rule for your private repository.
About Règles de triage automatique personnalisées
Remarque
Règles de triage automatique personnalisées pour Dependabot alerts sont disponibles sur les référentiels publics et sur tous les référentiels appartenant à l’organisation dans GitHub Team ou GitHub Enterprise avec GitHub Code Security activé.
With Règles de triage automatique personnalisées, you can create your own rules to automatically dismiss or reopen alerts based on targeted metadata, such as severity, package name, CWE, and more. You can also specify which alerts you want Dependabot to open pull requests for. For more information, see Personnalisation des règles de triage automatique pour classer les alertes Dependabot par ordre de priorité.
You can create custom rules from the Settings tab of the repository, provided the repository belongs to an organization that has a license for GitHub Code Security or GitHub Advanced Security. For more information, see Adding custom auto-triage rules to your repository.
About auto-dismissing alerts
Whilst you may find it useful to use auto-triage rules to auto-dismiss alerts, you can still reopen auto-dismissed alerts and filter to see which alerts have been auto-dismissed. For more information, see Gestion des alertes qui ont été ignorées automatiquement par une alerte de triage automatique Dependabot.
Additionally, auto-dismissed alerts are still available for reporting and reviewing, and can be auto-reopened if the alert metadata changes, for example:
- If you change the scope of a dependency from development to production.
- If GitHub modifies certain metadata for the related advisory.
Auto-dismissed alerts are defined by the resolution:auto-dismiss close reason. Automatic dismissal activity is included in alert webhooks, REST and GraphQL APIs, and the audit log. For more information, see Points de terminaison d’API REST pour Dependabot alerts, and the "repository_vulnerability_alert" section in Examen du journal d’audit de votre organisation.