In February 2026, Go security expert Filippo Valsorda published a post titled "Turn Dependabot Off". His argument: Dependabot opened thousands of pull requests against repositories whose code never even called the vulnerable function — turning a security tool into a noise machine that trained developers to ignore security alerts. The Register covered it. The developer community erupted in debate. And yet, just six weeks later, GitHub shipped the two biggest Dependabot updates in years: malware detection for npm (March 17) and AI agent assignment for fix PRs (April 7). Dependabot is simultaneously the most widely adopted dependency security tool on the planet and one of the most complained about. This guide explains why, what changed in 2026, and how to configure Dependabot so it actually improves your security posture instead of eroding it.
En février 2026, l'expert en sécurité Go Filippo Valsorda a publié un article intitulé « Désactivez Dependabot ». Son argument : Dependabot ouvrait des milliers de pull requests contre des dépôts dont le code n'appelait jamais la fonction vulnérable — transformant un outil de sécurité en machine à bruit qui apprenait aux développeurs à ignorer les alertes. The Register l'a relayé. La communauté développeur s'est enflammée. Et pourtant, six semaines plus tard, GitHub a shipé les deux plus grosses mises à jour Dependabot depuis des années : la détection de malware pour npm (17 mars) et l'assignation d'agents IA pour les correctifs (7 avril). Dependabot est simultanément l'outil de sécurité de dépendances le plus utilisé au monde et l'un des plus critiqués. Ce guide explique pourquoi, ce qui a changé en 2026, et comment configurer Dependabot pour qu'il améliore réellement votre posture de sécurité plutôt que de l'éroder.
Why Dependabot Became the "Noise Machine" — and Why That Matters
Pourquoi Dependabot est devenu une « Machine à Bruit » — et Pourquoi C'est Important
Dependabot operates at the manifest level: it knows whether a vulnerable version of a package is listed in your package.json, Pipfile, or pom.xml. What it does not know is whether your application code ever calls the vulnerable function. This gap produces false positives at scale. A project using lodash for array utilities will receive a Dependabot alert for a prototype pollution vulnerability in lodash.template — even if the project never calls _.template anywhere in its codebase.
Dependabot fonctionne au niveau du manifeste : il sait si une version vulnérable d'un package est listée dans votre package.json, Pipfile ou pom.xml. Ce qu'il ne sait pas, c'est si votre code applicatif appelle jamais la fonction vulnérable. Cet écart produit des faux positifs à grande échelle. Un projet utilisant lodash pour des utilitaires de tableaux recevra une alerte Dependabot pour une vulnérabilité de prototype pollution dans lodash.template — même si le projet n'appelle jamais _.template nulle part dans sa base de code.
The consequences are measurable. Pixee.ai's 2025 analysis of developer behavior found that 85% of security-related pull requests go unmerged. Developers don't reject them consciously — they simply stop paying attention after enough false alarms. A library maintainer who turns off Dependabot is not being irresponsible; they are responding rationally to a tool calibrated for breadth, not precision. The irony is that alert fatigue from over-notification is itself a security risk: when every alert looks the same, the genuinely critical ones disappear into the noise.
Les conséquences sont mesurables. L'analyse du comportement des développeurs par Pixee.ai en 2025 a révélé que 85% des pull requests liées à la sécurité ne sont pas fus iquées. Les développeurs ne les rejettent pas consciemment — ils cessent simplement d'y prêter attention après assez de fausses alarmes. Un mainteneur de bibliothèque qui désactive Dependabot n'est pas irresponsable ; il répond rationnellement à un outil calibré pour la couverture, pas la précision. L'ironie est que la fatigue des alertes due à une notification excessive est elle-même un risque sécurité : quand chaque alerte se ressemble, les vraiment critiques se perdent dans le bruit.
GitHub's response to this criticism has been iterative. Dependabot now ships with a built-in preset that auto-dismisses low-severity devDependency alerts in npm — a change GitHub reported reduces npm alert volume by approximately 15%. The deeper fix, however, is the auto-triage rules system, which lets teams build custom filtering logic that matches their actual risk tolerance.
La réponse de GitHub à ces critiques a été itérative. Dependabot est maintenant livré avec un préréglage intégré qui auto-rejette les alertes devDependency npm de faible sévérité — un changement que GitHub rapporte réduire le volume d'alertes npm d'environ 15%. La solution plus profonde, cependant, est le système de règles d'auto-triage, qui permet aux équipes de construire une logique de filtrage personnalisée correspondant à leur tolérance au risque réelle.
What Changed in 2026: Three Major Dependabot Updates
Ce qui a Changé en 2026 : Trois Mises à Jour Majeures de Dependabot
GitHub shipped three significant Dependabot features between March and April 2026, each addressing a different dimension of the alert fatigue problem.
GitHub a shipé trois fonctionnalités Dependabot significatives entre mars et avril 2026, chacune adressant une dimension différente du problème de fatigue des alertes.
1. Alert Assignees (March 3, 2026) — Ownership at Scale
1. Assignataires d'Alertes (3 mars 2026) — Responsabilité à Grande Échelle
One of the most common reasons security alerts pile up is ambiguity about ownership. If nobody is explicitly responsible for a Dependabot alert, nobody acts on it. The alert assignee feature, generally available since March 3, 2026, lets you assign alerts to specific team members directly from the Dependabot alert detail page — creating clear accountability for each open vulnerability. For organizations managing dozens of repositories, this feature integrates with GitHub's security overview, allowing security leads to see which alerts are assigned, to whom, and for how long.
L'une des raisons les plus courantes pour lesquelles les alertes de sécurité s'accumulent est l'ambiguïté de propriété. Si personne n'est explicitement responsable d'une alerte Dependabot, personne n'agit dessus. La fonctionnalité d'assignataire d'alerte, généralement disponible depuis le 3 mars 2026, vous permet d'assigner des alertes à des membres spécifiques de l'équipe directement depuis la page de détail de l'alerte Dependabot — créant une responsabilité claire pour chaque vulnérabilité ouverte. Pour les organisations gérant des dizaines de dépôts, cette fonctionnalité s'intègre avec la vue d'ensemble de sécurité de GitHub, permettant aux responsables sécurité de voir quelles alertes sont assignées, à qui, et depuis combien de temps.
2. Malware Detection for npm (March 17, 2026) — A Separate Signal
2. Détection de Malware pour npm (17 mars 2026) — Un Signal Séparé
This is the most architecturally interesting 2026 change. Dependabot can now send alerts when your npm dependencies include a package version that has been flagged as malware in the GitHub Advisory Database. Malware alerts appear in a distinct subcategory, completely separate from CVE-based vulnerability alerts. This separation matters: malware advisories require a different response (immediate removal, not an upgrade PR) and a different triage logic (no CVSS score, no EPSS, binary risk).
C'est le changement 2026 le plus intéressant architecturalement. Dependabot peut maintenant envoyer des alertes quand vos dépendances npm incluent une version de package signalée comme malware dans la GitHub Advisory Database. Les alertes malware apparaissent dans une sous-catégorie distincte, complètement séparée des alertes de vulnérabilité basées sur les CVE. Cette séparation est importante : les advisories malware nécessitent une réponse différente (suppression immédiate, pas une PR de mise à jour) et une logique de triage différente (pas de score CVSS, pas d'EPSS, risque binaire).
The feature is opt-in, enabled via a new toggle in repository, organization, or enterprise security settings. When enabled, Dependabot retroactively checks all current npm dependencies against existing malware advisories — so you get an immediate snapshot of your current exposure on activation. The detection is powered exclusively by the GitHub Advisory Database, meaning it will catch advisories like those from the TeamPCP CanisterWorm campaign (April 2026) and Bitwarden CLI backdoor that were catalogued there, but will not catch malicious packages that have not yet been reviewed and published by GitHub's advisory team.
La fonctionnalité est opt-in, activée via un nouveau toggle dans les paramètres de sécurité du dépôt, de l'organisation ou de l'entreprise. Quand elle est activée, Dependabot vérifie rétroactivement toutes les dépendances npm actuelles par rapport aux advisories malware existants — vous donnant ainsi un instantané immédiat de votre exposition actuelle à l'activation. La détection est alimentée exclusivement par la GitHub Advisory Database, ce qui signifie qu'elle détectera les advisories comme ceux de la campagne TeamPCP CanisterWorm (avril 2026) et du backdoor Bitwarden CLI qui y ont été catalogués, mais ne détectera pas les packages malveillants qui n'ont pas encore été examinés et publiés par l'équipe advisory de GitHub.
3. AI Agent Assignment (April 7, 2026) — Copilot, Claude & Codex Fix Your Deps
3. Assignation d'Agents IA (7 avril 2026) — Copilot, Claude & Codex Réparent Vos Déps
From any Dependabot alert detail page, you can now click Assign to Agent and select an AI coding agent — Copilot, Claude, or Codex — to analyze the alert and open a draft pull request. The agent reads the advisory details, examines how the vulnerable dependency is used in your codebase, proposes an upgrade or alternative fix, and attempts to resolve any test failures the update introduces. You can assign multiple agents to the same alert simultaneously, letting you compare their approaches before merging.
Depuis n'importe quelle page de détail d'alerte Dependabot, vous pouvez maintenant cliquer sur Assigner à un Agent et sélectionner un agent de codage IA — Copilot, Claude, ou Codex — pour analyser l'alerte et ouvrir une pull request de brouillon. L'agent lit les détails de l'advisory, examine comment la dépendance vulnérable est utilisée dans votre base de code, propose une mise à jour ou un correctif alternatif, et tente de résoudre les échecs de tests que la mise à jour introduit. Vous pouvez assigner plusieurs agents à la même alerte simultanément, vous permettant de comparer leurs approches avant de fusionner.
Important caveat: AI-generated fix PRs are drafts. GitHub explicitly warns that agents can produce incomplete patches, miss edge cases, or introduce new issues. Always review the proposed diff, verify tests pass, and confirm the fix is appropriate for your use case before merging. The feature requires GitHub Code Security and a Copilot plan that includes coding agent access.
Mise en garde importante : les PR de correctifs générées par IA sont des brouillons. GitHub avertit explicitement que les agents peuvent produire des correctifs incomplets, manquer des cas limites, ou introduire de nouveaux problèmes. Relisez toujours le diff proposé, vérifiez que les tests passent, et confirmez que le correctif est adapté à votre cas d'usage avant de fusionner. La fonctionnalité nécessite GitHub Code Security et un plan Copilot incluant l'accès aux agents de codage.
Auto-Triage Rules: How to Cut Through the Noise Using CVSS and EPSS
Règles d'Auto-Triage : Comment Couper le Bruit grâce au CVSS et à l'EPSS
Dependabot's auto-triage rules are the most powerful tool for managing alert volume at scale. Rules are applied before notifications are sent, meaning they can silently dismiss or snooze alerts without ever appearing in your inbox. You can build rules based on: severity (CVSS score), exploit prediction (EPSS score), whether a patch is available, the dependency scope (devDependencies vs production), the package ecosystem, and even specific package names or GHSA IDs.
Les règles d'auto-triage de Dependabot sont l'outil le plus puissant pour gérer le volume d'alertes à grande échelle. Les règles sont appliquées avant l'envoi des notifications, ce qui signifie qu'elles peuvent rejeter ou mettre en veille silencieusement des alertes sans jamais apparaître dans votre boîte de réception. Vous pouvez construire des règles basées sur : la sévérité (score CVSS), la prédiction d'exploitation (score EPSS), la disponibilité d'un correctif, la portée de la dépendance (devDependencies vs production), l'écosystème, et même des noms de packages ou des identifiants GHSA spécifiques.
The most impactful triage insight from 2025 security research: teams that filter using EPSS (the probability that a vulnerability will be exploited within the next 30 days) can achieve 87% coverage of vulnerabilities that get exploited in the wild by focusing on just 10% of their total alert volume — an 83% reduction in remediation effort compared to working through CVSS-sorted lists from top to bottom. The reason is that CVSS measures theoretical severity, not real-world exploitation likelihood. A CVSS 9.8 in an obscure Windows-only COM component may have EPSS near zero for a Linux web project; meanwhile a CVSS 5.3 in a widely-deployed authentication middleware may have EPSS near 0.9.
L'insight de triage le plus impactant de la recherche en sécurité 2025 : les équipes qui filtrent avec l'EPSS (la probabilité qu'une vulnérabilité soit exploitée dans les 30 prochains jours) peuvent atteindre une couverture de 87% des vulnérabilités exploitées dans la nature en se concentrant sur seulement 10% de leur volume total d'alertes — soit une réduction de 83% de l'effort de remédiation comparé au traitement de listes triées par CVSS de haut en bas. La raison est que le CVSS mesure la sévérité théorique, pas la probabilité d'exploitation réelle. Un CVSS 9.8 dans un composant COM obscur Windows uniquement peut avoir un EPSS proche de zéro pour un projet web Linux ; pendant ce temps un CVSS 5.3 dans un middleware d'authentification largement déployé peut avoir un EPSS proche de 0.9.
A practical starting ruleset for most teams:
Un ensemble de règles de départ pratique pour la plupart des équipes :
# .github/dependabot.yml — triage rules via repository security settings
# Auto-triage rules are configured in Settings → Code Security → Dependabot
# Rule 1: Auto-dismiss low/medium severity devDependency alerts with no patch
# Scope: devDependencies, severity: low or medium, patch: unavailable
# Action: Dismiss (no patch available, not production risk)
# Rule 2: Snooze medium-severity alerts (patch available) for 30 days
# Scope: all, severity: medium, patch: available
# Action: Snooze until patch available (reduces inbox noise without losing visibility)
# Rule 3: Alert immediately on any critical/high alert in production scope
# Scope: runtime/production, severity: high or critical
# Action: Create PR immediately (no auto-dismiss, no snooze)
# Rule 4 (if GitHub Advanced Security): EPSS > 0.1 always creates PR
# regardless of CVSS severity
# Action: Create PR (real-world exploitation risk regardless of severity score)
Note: custom auto-triage rules (beyond the built-in presets) require GitHub Advanced Security for private repositories. For public repositories, custom rules are free.
Note : les règles d'auto-triage personnalisées (au-delà des préréglages intégrés) nécessitent GitHub Advanced Security pour les dépôts privés. Pour les dépôts publics, les règles personnalisées sont gratuites.
The GHSA vs CVE Gap: What Dependabot Cannot See
Le Fossé GHSA vs CVE : Ce que Dependabot Ne Peut Pas Voir
Dependabot triggers alerts only on reviewed advisories in the GitHub Advisory Database. Here is the scale of the problem: as of 2024, a UC Irvine study found that the GitHub Advisory Database contained more than 213,000 unreviewed advisories, with fewer than six being reviewed per day. At that pace, it would take approximately 95 years to clear the queue. Advisories that remain unreviewed do not trigger Dependabot alerts. Downstream projects may be using actively exploited packages without receiving any notification.
Dependabot déclenche des alertes uniquement sur les advisories examinés dans la GitHub Advisory Database. Voilà l'échelle du problème : en 2024, une étude de l'UC Irvine a constaté que la GitHub Advisory Database contenait plus de 213 000 advisories non examinés, avec moins de six examinés par jour. À ce rythme, il faudrait environ 95 ans pour résorber la file d'attente. Les advisories qui restent non examinés ne déclenchent pas d'alertes Dependabot. Les projets en aval peuvent utiliser des packages activement exploités sans recevoir aucune notification.
A second structural gap is GHSA-only advisories. The OpenClaw case of 2026 illustrated this clearly: within three weeks of going viral, the project had published over 200 GitHub Security Advisories, but only a fraction had corresponding CVE identifiers. Vulnerability scanners, SBOM tools, and patch management platforms that are built around CVE IDs will be completely blind to GHSA-only disclosures. Dependabot does use the full GHSA database (not just CVEs), which gives it an advantage over CVE-only tools — but only for the reviewed subset.
Un deuxième fossé structurel concerne les advisories uniquement GHSA. Le cas OpenClaw de 2026 l'a illustré clairement : en trois semaines, le projet avait publié plus de 200 GitHub Security Advisories, mais seule une fraction avait des identifiants CVE correspondants. Les scanners de vulnérabilités, les outils SBOM et les plateformes de gestion des correctifs construits autour des identifiants CVE seront complètement aveugles aux divulgations uniquement GHSA. Dependabot utilise bien la base de données GHSA complète (pas seulement les CVE), ce qui lui donne un avantage sur les outils CVE uniquement — mais seulement pour le sous-ensemble examiné.
What this means in practice: Dependabot covers a large and important subset of your dependency risk, but it is not a complete picture. Tools that query OSV.dev directly (which aggregates GHSA, NVD/CVE, Go Vulnerability Database, PyPI Advisory Database, and others in real time) will surface vulnerabilities that Dependabot's reviewed-only scope misses.
Ce que cela signifie en pratique : Dependabot couvre un sous-ensemble large et important de votre risque de dépendance, mais ce n'est pas un tableau complet. Les outils qui interrogent directement OSV.dev (qui agrège GHSA, NVD/CVE, la Go Vulnerability Database, la PyPI Advisory Database, et d'autres en temps réel) feront remonter des vulnérabilités que la portée « examiné uniquement » de Dependabot manque.
Dependabot Configuration Best Practices for 2026
Meilleures Pratiques de Configuration Dependabot pour 2026
A well-configured dependabot.yml reduces noise, maintains coverage, and integrates into your team's workflow. The key parameters:
Un dependabot.yml bien configuré réduit le bruit, maintient la couverture, et s'intègre dans le workflow de votre équipe. Les paramètres clés :
# .github/dependabot.yml
version: 2
updates:
# npm / Node.js
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "weekly" # weekly beats daily for PR noise management
day: "monday"
time: "09:00"
timezone: "Europe/Paris"
open-pull-requests-limit: 5 # cap simultaneous PRs to avoid overwhelming reviewers
groups:
# Group minor+patch updates by type to reduce PR volume
minor-and-patch:
update-types:
- "minor"
- "patch"
ignore:
# Ignore major version bumps via auto-update (handle manually)
- dependency-name: "*"
update-types: ["version-update:semver-major"]
labels:
- "security"
- "dependencies"
assignees:
- "security-lead" # pairs with the new 2026 assignee feature
# Python
- package-ecosystem: "pip"
directory: "/"
schedule:
interval: "weekly"
day: "tuesday"
open-pull-requests-limit: 5
# GitHub Actions — often overlooked attack surface
- package-ecosystem: "github-actions"
directory: "/"
schedule:
interval: "weekly"
day: "wednesday"
open-pull-requests-limit: 10
Three practices the configuration above reflects that are frequently missed: (1) Weekly over daily — daily schedules create a constant stream of PRs that developers learn to ignore; weekly batching creates a predictable review window. (2) GitHub Actions monitoring — the github-actions ecosystem is frequently absent from dependabot.yml despite being the attack vector in high-profile incidents like the TanStack supply chain attack (May 2026). (3) PR grouping — grouping minor and patch updates into a single PR reduces PR count by 60-80% in typical projects without sacrificing security coverage.
Trois pratiques que la configuration ci-dessus reflète et qui sont fréquemment omises : (1) Hebdomadaire plutôt que quotidien — les planifications quotidiennes créent un flux constant de PRs que les développeurs apprennent à ignorer ; le regroupement hebdomadaire crée une fenêtre de revue prévisible. (2) Surveillance des GitHub Actions — l'écosystème github-actions est fréquemment absent du dependabot.yml malgré être le vecteur d'attaque dans des incidents de renom comme l'attaque supply chain TanStack (mai 2026). (3) Regroupement des PRs — regrouper les mises à jour mineures et de patch en une seule PR réduit le nombre de PRs de 60-80% dans les projets typiques sans sacrifier la couverture sécurité.
What Dependabot Still Misses in 2026
Ce que Dependabot Manque Encore en 2026
Dependabot is a version-update tool with security alerting built in. It is not a supply chain security platform. Key blind spots to be aware of:
Dependabot est un outil de mise à jour de versions avec des alertes de sécurité intégrées. Ce n'est pas une plateforme de sécurité supply chain. Angles morts clés à connaître :
- Lockfile tampering detection — Dependabot reads your manifests (
package.json,Pipfile) and compares declared versions against its advisory database. It does not validate whether your lockfile (package-lock.json,yarn.lock) has been tampered with to point to a malicious version while your manifest still shows a safe version range. Lockfile poisoning attacks exploit exactly this gap. - Détection de falsification de lockfile — Dependabot lit vos manifestes (
package.json,Pipfile) et compare les versions déclarées avec sa base de données d'advisories. Il ne valide pas si votre lockfile (package-lock.json,yarn.lock) a été falsifié pour pointer vers une version malveillante tandis que votre manifeste montre toujours une plage de versions sûre. Les attaques de lockfile poisoning exploitent exactement ce fossé. - Transitive dependency depth — Dependabot generates alerts for both direct and transitive dependencies, but fix PRs only bump the package it knows how to update. Deep transitive vulnerabilities where the vulnerable package is pulled in by a locked intermediate dependency may not get an actionable PR.
- Profondeur des dépendances transitives — Dependabot génère des alertes pour les dépendances directes et transitives, mais les PRs de correctifs ne font que mettre à jour le package qu'il sait comment mettre à jour. Les vulnérabilités transitives profondes où le package vulnérable est référencé par une dépendance intermédiaire verrouillée peuvent ne pas obtenir de PR actionnable.
- Cross-ecosystem lockfiles — a Node.js project that calls Python microservices via subprocess, a PHP application bundling a Go binary, or a multi-language monorepo may have dependency vulnerabilities that span ecosystems. Each Dependabot
updatesentry covers one ecosystem in one directory; cross-ecosystem dependency graphs are not linked. - Lockfiles multi-écosystèmes — un projet Node.js qui appelle des microservices Python via subprocess, une application PHP bundlant un binaire Go, ou un monorepo multi-langages peuvent avoir des vulnérabilités de dépendances qui traversent les écosystèmes. Chaque entrée
updatesDependabot couvre un écosystème dans un répertoire ; les graphes de dépendances inter-écosystèmes ne sont pas liés. - Unreviewed GHSA advisories — as detailed above, 213,000+ unreviewed advisories exist in the database. Any vulnerability disclosed exclusively via a GHSA that has not been reviewed will not trigger a Dependabot alert.
- Advisories GHSA non examinés — comme détaillé ci-dessus, 213 000+ advisories non examinés existent dans la base de données. Toute vulnérabilité divulguée exclusivement via un GHSA non examiné ne déclenchera pas d'alerte Dependabot.
Close the Gaps Dependabot Leaves Open
Comblez les Lacunes que Dependabot Laisse Ouvertes
CVE OptiBot scans your actual lockfiles daily against OSV.dev's full advisory database — including unreviewed GHSA advisories and cross-ecosystem dependencies. It detects lockfile tampering, validates transitive dependency integrity, and sends actionable alerts ranked by EPSS exploitation probability — not just CVSS score. No code access required: OptiBot only reads your lockfiles.
CVE OptiBot scanne vos lockfiles réels chaque jour contre la base de données complète d'OSV.dev — y compris les advisories GHSA non examinés et les dépendances multi-écosystèmes. Il détecte la falsification de lockfiles, valide l'intégrité des dépendances transitives, et envoie des alertes actionnables classées par probabilité d'exploitation EPSS — pas seulement par score CVSS. Aucun accès au code requis : OptiBot ne lit que vos lockfiles.
Start free monitoring Démarrer le monitoring gratuitFrequently Asked Questions
Questions Fréquentes
Is Dependabot free in 2026?
Dependabot est-il gratuit en 2026 ?
Dependabot security alerts and the built-in auto-triage presets (including devDependency dismissal) are free for all public and private repositories on GitHub. Custom auto-triage rules for private repositories require GitHub Advanced Security. The new AI agent fix assignment feature requires a Copilot plan that includes coding agent access. Alert assignees are free for all repositories.
Les alertes de sécurité Dependabot et les préréglages d'auto-triage intégrés (y compris le rejet des devDependency) sont gratuits pour tous les dépôts publics et privés sur GitHub. Les règles d'auto-triage personnalisées pour les dépôts privés nécessitent GitHub Advanced Security. La nouvelle fonctionnalité d'assignation d'agents IA nécessite un plan Copilot incluant l'accès aux agents de codage. Les assignataires d'alertes sont gratuits pour tous les dépôts.
What is the difference between a GHSA and a CVE?
Quelle est la différence entre un GHSA et un CVE ?
A CVE (Common Vulnerabilities and Exposures) is issued by MITRE and forms the global standard for vulnerability tracking. A GHSA (GitHub Security Advisory) is published directly in the GitHub Advisory Database — it may or may not have a corresponding CVE. GHSA allows disclosure without waiting for MITRE CVE assignment, which can be faster for newly discovered vulnerabilities. The practical risk: tools built around CVE IDs will miss vulnerabilities that only have GHSA identifiers, including many malware advisories and newly disclosed open-source vulnerabilities.
Un CVE (Common Vulnerabilities and Exposures) est émis par MITRE et constitue le standard mondial pour le suivi des vulnérabilités. Un GHSA (GitHub Security Advisory) est publié directement dans la GitHub Advisory Database — il peut ou non avoir un CVE correspondant. GHSA permet la divulgation sans attendre l'attribution de CVE par MITRE, ce qui peut être plus rapide pour les vulnérabilités nouvellement découvertes. Le risque pratique : les outils construits autour des identifiants CVE manqueront les vulnérabilités qui n'ont que des identifiants GHSA, y compris de nombreux advisories malware et vulnérabilités open source nouvellement divulguées.
How do I reduce Dependabot PR noise without turning it off?
Comment réduire le bruit des PRs Dependabot sans le désactiver ?
Four changes with the biggest impact: (1) Switch update schedule from daily to weekly. (2) Enable PR grouping for minor and patch updates. (3) Set open-pull-requests-limit: 5 to cap simultaneous PRs. (4) Enable the built-in auto-triage preset to dismiss low-severity devDependency alerts. For private repositories with GitHub Advanced Security, add a custom rule to snooze medium-severity alerts until a patch is available. These four changes typically reduce Dependabot PR volume by 70-80% while maintaining visibility on high and critical production vulnerabilities.
Quatre changements avec le plus grand impact : (1) Passer la planification de daily à weekly. (2) Activer le regroupement des PRs pour les mises à jour mineures et de patch. (3) Définir open-pull-requests-limit: 5 pour limiter les PRs simultanées. (4) Activer le préréglage d'auto-triage intégré pour rejeter les alertes devDependency de faible sévérité. Pour les dépôts privés avec GitHub Advanced Security, ajoutez une règle personnalisée pour mettre en veille les alertes de sévérité moyenne jusqu'à la disponibilité d'un correctif. Ces quatre changements réduisent typiquement le volume de PRs Dependabot de 70-80% tout en maintenant la visibilité sur les vulnérabilités de production haute et critique.
Does Dependabot detect malware in npm packages?
Dependabot détecte-t-il les malwares dans les packages npm ?
Yes, since March 17, 2026, but only for the npm ecosystem and only when malware alerting is explicitly enabled in your security settings. The detection is powered by the GitHub Advisory Database and covers packages that have been flagged as malware by GitHub's advisory team. It will not catch malware in packages that haven't been reviewed yet. Enable it via Settings → Code Security → Dependabot → Malware alerts (npm).
Oui, depuis le 17 mars 2026, mais uniquement pour l'écosystème npm et uniquement quand les alertes malware sont explicitement activées dans vos paramètres de sécurité. La détection est alimentée par la GitHub Advisory Database et couvre les packages signalés comme malware par l'équipe advisory de GitHub. Elle ne détectera pas les malwares dans des packages qui n'ont pas encore été examinés. Activez-la via Paramètres → Code Security → Dependabot → Alertes malware (npm).
Should I use Dependabot, Renovate, or a third-party SCA tool?
Dois-je utiliser Dependabot, Renovate, ou un outil SCA tiers ?
These tools serve different purposes and are often complementary. Dependabot is the right choice for GitHub-native workflows where you want zero-configuration security alerting with PR automation. Renovate offers more granular update scheduling and grouping logic, and works across multiple platforms (GitLab, Azure DevOps, Bitbucket). Third-party SCA tools like Snyk, Socket, or CVE OptiBot add deeper analysis layers: reachability analysis, real-time OSV.dev scanning, lockfile integrity validation, and cross-ecosystem support. The practical recommendation: use Dependabot as your first layer (free, zero-config) and supplement with OSV.dev-based scanning for comprehensive transitive dependency and lockfile coverage.
Ces outils servent des objectifs différents et sont souvent complémentaires. Dependabot est le bon choix pour les workflows natifs GitHub où vous voulez des alertes de sécurité sans configuration avec automatisation des PRs. Renovate offre une planification et une logique de regroupement des mises à jour plus granulaires, et fonctionne sur plusieurs plateformes (GitLab, Azure DevOps, Bitbucket). Les outils SCA tiers comme Snyk, Socket, ou CVE OptiBot ajoutent des couches d'analyse plus profondes : analyse d'accessibilité, scan OSV.dev en temps réel, validation de l'intégrité des lockfiles, et support multi-écosystèmes. La recommandation pratique : utilisez Dependabot comme première couche (gratuit, sans configuration) et complétez avec le scan basé sur OSV.dev pour une couverture complète des dépendances transitives et des lockfiles.
What is EPSS and how does it help prioritize Dependabot alerts?
Qu'est-ce que l'EPSS et comment aide-t-il à prioriser les alertes Dependabot ?
EPSS (Exploit Prediction Scoring System) is a probabilistic score (0 to 1) that estimates the probability a given vulnerability will be exploited in the wild within the next 30 days. Unlike CVSS, which measures theoretical impact, EPSS is data-driven and updated daily based on real exploitation signals. In Dependabot's auto-triage rules, EPSS lets you create rules like "alert immediately on any vulnerability with EPSS > 0.1, regardless of CVSS severity" — catching real-world exploits that CVSS alone would bury in a long queue of high-severity-but-rarely-exploited vulnerabilities.
L'EPSS (Exploit Prediction Scoring System) est un score probabiliste (0 à 1) qui estime la probabilité qu'une vulnérabilité donnée soit exploitée dans la nature dans les 30 prochains jours. Contrairement au CVSS, qui mesure l'impact théorique, l'EPSS est basé sur des données et mis à jour quotidiennement en fonction des signaux d'exploitation réelle. Dans les règles d'auto-triage de Dependabot, l'EPSS vous permet de créer des règles comme « alerter immédiatement pour toute vulnérabilité avec EPSS > 0,1, quelle que soit la sévérité CVSS » — détectant les exploits réels que le CVSS seul noierait dans une longue file de vulnérabilités à haute sévérité-mais-rarement-exploitées.
Related reading:
Lecture complémentaire :
npm Lockfile Poisoning in 2026 → Lockfile Poisoning npm en 2026 → GitHub Actions Supply Chain Security 2026 → Sécurité Supply Chain GitHub Actions 2026 → GitHub Actions OIDC Token Security → Sécurité Tokens OIDC GitHub Actions → CVE Monitoring — How It Works → CVE Monitoring — Comment ça Fonctionne →