{"meta":{"title":"Alertes de programmes malveillants Dependabot","intro":"Dependabot malware alerts aider à identifier les malwares dans vos dépendances pour protéger votre projet et ses utilisateurs.","product":"Sécurité et qualité du code","breadcrumbs":[{"href":"/fr/enterprise-cloud@latest/code-security","title":"Sécurité et qualité du code"},{"href":"/fr/enterprise-cloud@latest/code-security/concepts","title":"Concepts"},{"href":"/fr/enterprise-cloud@latest/code-security/concepts/supply-chain-security","title":"Sécurité de la chaîne d’approvisionnement"},{"href":"/fr/enterprise-cloud@latest/code-security/concepts/supply-chain-security/dependabot-malware-alerts","title":"Alertes de programmes malveillants Dependabot"}],"documentType":"article"},"body":"# Alertes de programmes malveillants Dependabot\n\nDependabot malware alerts aider à identifier les malwares dans vos dépendances pour protéger votre projet et ses utilisateurs.\n\nLe logiciel s’appuie souvent sur des packages provenant de différentes sources, créant des relations de dépendance qui peuvent menacer la sécurité de votre projet. Par exemple, les acteurs malveillants peuvent utiliser des paquets malveillants pour exécuter des attaques de logiciels malveillants, accéder à votre code, vos données, vos utilisateurs et vos contributeurs.\n\nPour sécuriser votre projet, Dependabot vous pouvez vérifier vos dépendances pour les packages malveillants connus, puis créer des alertes avec des étapes de correction suggérées.\n\n## Quand Dependabot envoie malware alerts\n\n```\n          Dependabot envoie malware alerts lorsqu’un package dans la branche par défaut de votre référentiel est marqué comme malveillant. Les alertes pour les dépendances existantes sont générées dès que le package est marqué sur le GitHub Advisory Database\n```\n\nLes alertes sont également générées lorsque vous envoyez des validations qui ajoutent un package malveillant connu ou mettent à jour un package vers une version malveillante connue.\n\n> \\[!NOTE]\n> Si l’écosystème, le nom et la version d’un package interne correspondent à ceux d’un package public malveillant, Dependabot peut générer une fausse alerte positive.\n\n## Contenu des alertes\n\nLorsque Dependabot détecte une dépendance malveillante, un malware alert apparaît dans l’onglet **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Security and quality** du référentiel. Chaque alerte inclut :\n\n* Lien vers le fichier concerné\n* Détails sur le package malveillant, y compris le nom du package, les versions affectées et la version corrigée (le cas échéant)\n* Étapes de correction\n\n## Disponibilité\n\nActuellement, Dependabot malware alerts sont disponibles pour les packages dans l’écosystème `npm`.\n\n## Notifications d’alerte\n\nPar défaut, GitHub envoie des notifications par e-mail concernant les nouvelles alertes aux personnes qui à la fois :\n\n* Disposer d’autorisations d’écriture, de maintenance ou d’administrateur dans un référentiel\n* Surveillez le référentiel et avez activé les notifications pour les alertes de sécurité ou pour toutes les activités sur le référentiel\n\nSur GitHub.com, vous pouvez remplacer le comportement par défaut en choisissant le type de notifications à recevoir ou en désactivant complètement les notifications dans la page paramètres de vos notifications utilisateur à l’adresse <https://github.com/settings/notifications>.\n\nSi vous êtes préoccupé par la réception d’un trop grand nombre de notifications, nous vous recommandons d’utiliser cette option Règles de triage automatique de Dependabot pour ignorer automatiquement les alertes à faible risque. Consultez « [À propos des règles de triage automatique de Dependabot](/fr/enterprise-cloud@latest/code-security/dependabot/dependabot-auto-triage-rules/about-dependabot-auto-triage-rules) ».\n\n## Limites\n\n```\n          Dependabot malware alerts présentent certaines limitations :\n```\n\n* Les alertes ne peuvent pas intercepter chaque problème de sécurité. Passez toujours en revue vos dépendances et conservez le manifeste et les fichiers de verrouillage à jour pour une détection précise.\n* De nouveaux logiciels malveillants peuvent mettre du temps à apparaître dans le GitHub Advisory Database et déclencher des alertes.\n* Seuls les avis examinés par GitHub déclenchent des alertes.\n* Dependabot n’analyse pas les dépôts archivés.\n* Pour GitHub Actions, les alertes sont générées uniquement pour les actions qui utilisent le contrôle de version sémantique, et non le contrôle de version SHA.\n\n  ```\n          GitHub ne divulgue jamais publiquement les dépendances malveillantes pour n’importe quel référentiel.\n  ```\n\n## Étapes suivantes\n\nPour commencer à protéger votre projet contre les dépendances malveillantes, consultez [Configuration des alertes de programmes malveillants Dependabot](/fr/enterprise-cloud@latest/code-security/how-tos/secure-your-supply-chain/secure-your-dependencies/configure-malware-alerts)."}