Options de notification des Dependabot alerts
Les options de notification pour votre compte d’utilisateur sont disponibles sur https://github.com/settings/notifications. Vous pouvez configurer les paramètres de notification pour chaque dépôt, dans les paramètres de surveillance du dépôt.
Pour recevoir des notifications sur les Dependabot alerts dans les référentiels, vous devez les surveiller et vous abonner pour recevoir des notifications « Toutes les activités » ou configurer des paramètres personnalisés pour inclure les « Alertes de sécurité ». Pour plus d’informations, consultez « Configuration des notifications ». Vous pouvez choisir la méthode de remise des notifications, ainsi que la fréquence à laquelle elles sont envoyées. Par défaut, vous recevez des notifications :
- Dans votre boîte de réception : sous forme de notifications web. Une notification web est envoyée lorsque Dependabot est activé pour un dépôt, lorsqu’un nouveau fichier manifeste est commité dans le dépôt et lorsqu’une nouvelle vulnérabilité avec un niveau de gravité critique ou élevé est détectée (option Sur GitHub ).
- Par courrier électronique. Un e-mail est envoyé lorsque Dependabot est activé pour un référentiel, lorsqu’un nouveau fichier manifeste est engagé dans le référentiel et lorsqu’une nouvelle vulnérabilité avec un niveau de gravité critique ou élevé est détectée (option E-mail).
- Sur la ligne de commande. Des avertissements s’affichent sous forme de rappels lorsque vous effectuez un envoi vers des référentiels ayant des dépendances non sécurisées (option CLI).
- Sur GitHub Mobile, comme notifications Web. Pour plus d’informations, consultez « Configuration des notifications ».
Remarque
Les notifications/GitHub Mobile par e-mail et web sont les suivantes :
- Par référentiel lorsque Dependabot est activé sur le référentiel ou lorsqu’un nouveau fichier manifeste est validé dans le référentiel.
- Par organisation lorsqu’une nouvelle vulnérabilité est découverte.
- Envoyé lorsqu’une nouvelle vulnérabilité est découverte. GitHub n’envoie pas de notifications lorsque les vulnérabilités sont mises à jour.
Vous pouvez personnaliser la façon dont vous êtes averti concernant les Dependabot alerts. Par exemple, vous pouvez recevoir un e-mail de synthèse quotidien ou hebdomadaire récapitulant les alertes concernant jusqu’à 10 de vos dépôts à l’aide de l’option Condensé des e-mails hebdomadaires.
Pour plus d’informations sur les méthodes de remise de notification disponibles, et pour obtenir des conseils sur l’optimisation de vos notifications pour Dependabot alerts, consultez « Configuration de notifications pour les alertes Dependabot ».
Options de notification Secret scanning
Quand un nouveau secret est détecté, GitHub avertit tous les utilisateurs ayant accès aux alertes de sécurité pour le référentiel en fonction de leurs préférences de notification. Ces utilisateurs sont les suivants :
- Administrateurs de dépôts
- Gestionnaires de sécurité
- Utilisateurs avec des rôles personnalisés avec accès en lecture/écriture
- Propriétaires d’organisation et propriétaires d’entreprise, s’ils sont administrateurs de dépôts où des secrets ont fuité
Remarque
Les auteurs d’une validation qui ont accidentellement validé des secrets seront avertis, quelles que soient leurs préférences de notification.
Vous recevrez une notification par e-mail si :
- Vous surveillez le dépôt.
- Vous avez activé les notifications pour « Toutes les activités » ou pour les « Alertes de sécurité » personnalisées sur le dépôt.
- Dans vos paramètres de notification, sous « Abonnements », puis sous « Surveillance », vous avez choisi de recevoir les notifications par e-mail.
De plus, vous recevrez une notification si quelqu'un vous attribue une alerte secret scanning, voir Attribution d'alertes.
Pour plus d’informations sur la configuration des notifications pour Alertes d’analyse de secrets, consultez « Surveillance des alertes à partir de l’analyse des secrets ».