Comment désactiver les alertes Dependabot pour un dépôt GitHub
Si vous gérez un projet personnel qui est resté inactif pendant des mois, ou si vous maintenez des dépôts de démonstration à des fins pédagogiques, vous connaissez cette frustration : Dependabot n’arrête pas d’inonder votre boîte de réception avec des alertes de sécurité et d’ouvrir des pull requests pour des dépendances que vous ne mettrez jamais à jour. Réglons ce problème.
Ce guide vous montre exactement comment désactiver les alertes Dependabot et les pull requests automatisées pour des dépôts GitHub individuels—à la fois via l’interface GitHub et en utilisant des fichiers de configuration. Nous couvrirons les différences entre les trois fonctionnalités de Dependabot et comment désactiver chacune d’entre elles.
Points clés à retenir
- Dependabot se compose de trois fonctionnalités indépendantes : les alertes, les mises à jour de sécurité et les mises à jour de version
- Vous pouvez désactiver Dependabot via l’interface utilisateur GitHub ou des fichiers de configuration
- Les dépôts publics peuvent avoir certaines fonctionnalités Dependabot activées en permanence par GitHub
- Considérez une désactivation sélective pour les monorepos ou les projets partiellement actifs
Comprendre les trois fonctionnalités de Dependabot
Avant de plonger dans la façon de désactiver Dependabot, il est crucial de comprendre ce que vous désactivez. Dependabot n’est pas une fonctionnalité unique—c’est en fait trois services distincts :
- Alertes Dependabot : Notifications concernant les vulnérabilités de sécurité dans vos dépendances
- Mises à jour de sécurité Dependabot : Pull requests automatisées qui corrigent les vulnérabilités connues
- Mises à jour de version Dependabot : Pull requests automatisées qui maintiennent toutes les dépendances à jour (pas seulement celles qui sont vulnérables)
Chacune peut être désactivée indépendamment, vous donnant un contrôle granulaire sur les notifications et PR que vous recevez.
Méthode 1 : Désactiver Dependabot via les paramètres GitHub
La façon la plus rapide de désactiver Dependabot est via la page des paramètres de votre dépôt. Cette méthode est parfaite pour des modifications ponctuelles et ne nécessite aucun code.
Désactiver les alertes Dependabot
- Naviguez vers votre dépôt GitHub
- Cliquez sur Settings (si vous ne le voyez pas, cliquez d’abord sur le menu déroulant)
- Dans la barre latérale, trouvez la section “Security” et cliquez sur Code security and analysis
- Localisez “Dependabot alerts” et cliquez sur Disable
Désactiver les mises à jour de sécurité Dependabot
Suivez le même chemin que ci-dessus, mais cherchez “Dependabot security updates” à la place. Cliquez sur Disable pour arrêter les PR de sécurité automatiques.
Note : Pour les dépôts publics, certaines fonctionnalités Dependabot peuvent être activées en permanence par la politique GitHub.
Qu’en est-il des mises à jour de version ?
Les mises à jour de version sont configurées différemment. Si vous les avez précédemment activées via un fichier dependabot.yml, vous devrez supprimer cette configuration ou utiliser la méthode basée sur les fichiers ci-dessous pour les désactiver.
Discover how at OpenReplay.com.
Méthode 2 : Désactiver Dependabot en utilisant des fichiers de configuration
Pour des modifications plus permanentes ou contrôlées par version, utilisez un fichier de configuration .github/dependabot.yml. Cette approche est idéale lorsque vous voulez :
- Documenter pourquoi Dependabot est désactivé
- Appliquer des paramètres cohérents entre les membres de l’équipe
- Désactiver sélectivement certaines fonctionnalités tout en gardant d’autres
Désactiver complètement les mises à jour de version
Pour désactiver les mises à jour de version Dependabot, définissez la limite de pull requests à zéro :
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "daily"
open-pull-requests-limit: 0Cette configuration indique à Dependabot de vérifier les mises à jour mais de ne jamais ouvrir de pull requests. Appliquez ce modèle à chaque écosystème de packages dans votre projet (npm, pip, bundler, etc.).
Désactiver les mises à jour pour des dépendances spécifiques
Parfois, vous voulez garder Dependabot actif mais ignorer certaines dépendances problématiques :
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "weekly"
ignore:
- dependency-name: "lodash"
- dependency-name: "react"
versions: ["16.x", "17.x"]Supprimer toute la configuration Dependabot
Pour désactiver complètement les mises à jour de version Dependabot, supprimez simplement le fichier .github/dependabot.yml de votre dépôt. Sans ce fichier, Dependabot ne vérifiera pas du tout les mises à jour de version.
Scénarios courants et solutions
Projets archivés ou inactifs
Pour les projets vraiment morts, désactivez les trois fonctionnalités Dependabot via l’interface utilisateur GitHub. Il n’y a aucun intérêt à recevoir des alertes de sécurité pour du code qui ne s’exécutera plus jamais.
Dépôts de démonstration et pédagogiques
Considérez garder les alertes Dependabot activées mais désactiver les PR automatiques. De cette façon, vous restez informé des vulnérabilités sans le bruit des PR. Les étudiants ou lecteurs peuvent voir les avertissements de sécurité sans confusion due aux pull requests automatisées.
Monorepos avec activité mixte
Utilisez l’approche par fichier de configuration pour désactiver sélectivement Dependabot pour les répertoires inactifs tout en le gardant actif pour le code maintenu :
version: 2
updates:
- package-ecosystem: "npm"
directory: "/active-app"
schedule:
interval: "weekly"
- package-ecosystem: "npm"
directory: "/archived-app"
schedule:
interval: "daily"
open-pull-requests-limit: 0Considérations importantes
Lorsque vous désactivez les fonctionnalités de sécurité Dependabot, vous acceptez la responsabilité de surveiller et mettre à jour manuellement les dépendances vulnérables. Pour les projets actifs, considérez ces alternatives avant de désactiver complètement :
- Réduire la fréquence de mise à jour au lieu de désactiver entièrement
- Grouper les mises à jour pour recevoir moins de PR plus importantes
- Utiliser des règles d’ignore pour des dépendances spécifiques plutôt qu’une désactivation générale
Rappelez-vous que désactiver les alertes Dependabot ne fait pas disparaître les vulnérabilités—cela arrête juste les notifications.
Conclusion
Désactiver Dependabot est simple, que vous préfériez naviguer dans l’interface utilisateur GitHub ou gérer des fichiers de configuration. La clé est de comprendre laquelle des trois fonctionnalités de Dependabot vous voulez vraiment désactiver et choisir la bonne méthode pour votre flux de travail. Pour les projets dormants, une désactivation agressive a du sens. Pour tout le reste, considérez une configuration sélective plutôt qu’une désactivation complète.
FAQ
Oui, vous pouvez désactiver Dependabot pour tout dépôt que vous possédez ou pour lequel vous avez un accès administrateur. Naviguez vers Settings, puis Code security and analysis pour activer ou désactiver les fonctionnalités Dependabot, quelle que soit la visibilité du dépôt.
Désactiver Dependabot peut impacter les insights de sécurité de votre dépôt et les évaluations scorecard. GitHub suit l'adoption des fonctionnalités de sécurité, donc désactiver les alertes et mises à jour pourrait diminuer vos métriques de sécurité, bien que cela importe principalement pour les dépôts publics ou d'organisation.
Absolument. Vous pouvez réactiver n'importe quelle fonctionnalité Dependabot à tout moment via le même menu Settings ou en rajoutant le fichier de configuration dependabot.yml. Vos paramètres précédents ne seront pas conservés, donc vous devrez reconfigurer depuis le début.
Understand every bug
Uncover frustrations, understand bugs and fix slowdowns like never before with OpenReplay — the open-source session replay tool for developers. Self-host it in minutes, and have complete control over your customer data. Check our GitHub repo and join the thousands of developers in our community.
