Intégration de Dependabot¶

Avec cette intégration activée, BoostSecurity récupérera les alertes de Dependabot de tous les projets auxquels il peut accéder.

Pour vous assurer que l'intégration fonctionne correctement, assurez-vous que Dependabot est activé dans GitHub pour les dépôts auxquels BoostSecurity a accès.

Pour activer l'intégration, activez l'interrupteur sur la page Intégrations à côté du nom de l' Organisation GitHub.

Les résultats de Dependabot correspondent aux règles suivantes et peuvent être ajoutés à votre politique de violations ou utilisés comme un filtre dans le navigateur Findings.

Dépendance avec une vulnérabilité à risque critique
Dépendance avec une vulnérabilité à risque élevé
Dépendance avec une vulnérabilité à risque modéré
Dépendance avec une vulnérabilité à risque faible

Note

BoostSecurity ne réalise pas de scan Dependabot sur les pull requests. Après l'activation de cette intégration, cela ne s'exécute que lorsqu'il y a un push vers la branche principale. Par conséquent, les développeurs ne verront aucune alerte Dependabot dans les pull requests.

Avertissement : L'utilisation de la fonctionnalité Pull Requests (PR) de Dependabot nécessite de dupliquer votre clé BOOST_API_TOKEN.

GitHub Actions & Mises à jour de sécurité Dependabot¶

Supposons que vous utilisiez les Actions GitHub et que vous souhaitiez également utiliser la fonctionnalité Mises à jour de sécurité Dependabot. Dans ce cas, vous devrez répliquer votre BOOST_API_TOKEN actuel, qui est stocké dans les secrets de vos Actions, dans les secrets pour Dependabot pour donner à Dependabot l'accès au secret.