カスタム自動トリアージ ルール について
アラート メタデータに基づいて、独自の Dependabot 自動トリアージ ルール のアラート ルールを作成できます。 アラートを無期限に自動無視するか、パッチが使用可能になるまでアラートをスヌーズするかを選択できます。また、Dependabot で pull request を開くアラートを指定できます。
作成したルールは将来のアラートと現在のアラートの両方に適用されるため、自動トリアージ ルール を使用して Dependabot alerts を一括で管理することもできます。
リポジトリ管理者は、パブリック リポジトリの カスタム自動トリアージ ルール を作成できます。
Organization オーナーとセキュリティ マネージャーは、Organization レベルで カスタム自動トリアージ ルール を設定し、Organization 内のすべてのパブリック リポジトリでルールを適用したり有効にしたりするかどうかを選択できます。
- 適用: Organization レベルのルールが "適用" されると、リポジトリ管理者はルールを編集、無効化、または削除できません。
- 有効: Organization レベルのルールが "有効" の場合、リポジトリ管理者はリポジトリのルールを無効にできます。
注: Organization レベルのルールとリポジトリ レベルのルールが競合する動作を指定した場合、Organization レベルのルールによって設定されたアクションが優先されます。 無視ルールは常に、Dependabot の pull request をトリガーするルールの前に動作します。
次のメタデータを使用して、アラートを対象とするルールを作成できます。
- CVE ID
- CWE
- 依存関係スコープ (
devDependency
またはruntime
) - エコシステム
- GHSA ID
- マニフェスト パス (リポジトリ レベルのルールのみ)
- パッケージ名
- パッチの可用性
- 重要度
カスタム自動トリアージ ルール と Dependabot security updates の対話方法について
カスタム自動トリアージ ルール を使用して、Dependabot で pull request を開くアラートを調整できます。 ただし、"pull request を開く" ルールを有効にするには、ルールを適用する単一または複数のリポジトリに対して Dependabot security updates が無効になっていることを確認する必要があります。
リポジトリに対して Dependabot security updates が有効になっている場合、Dependabot は、使用可能なパッチを持つすべての開いている Dependabot アラートを解決するために pull request を自動的に開こうとします。 ルールを使用してこの動作をカスタマイズする場合は、Dependabot security updates を無効のままにする必要があります。
リポジトリの Dependabot security updates の有効化または無効化の詳細については、「Configuring Dependabot security updates (Dependabot セキュリティ アップデートの構成)」を参照してください。
カスタム自動トリアージ ルール をリポジトリに追加する
注: パブリック プレビュー 期間中は、リポジトリに対して最大 10 個の カスタム自動トリアージ ルール を作成できます。
-
GitHub で、リポジトリのメイン ページに移動します。1. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
1. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。1. 「Dependabot alerts」で、「Dependabot rules」ルール付近の をクリックします。1. [新しいルール] をクリックします。1. 「ルール名前」の下で、このルールの実行内容を説明します。 -
[状態] で、ドロップダウン メニューを使用して、リポジトリに対してルールを有効または無効にするかどうかを選択します。
-
「ターゲット アラート」で、アラートのフィルター処理に使用するメタデータを選択します。
-
[ルール] で、メタデータに一致するアラートに対して実行するアクションを選択します。
- メタデータに一致するアラートを自動的に無視するには、[アラートの無視] を選択します。 アラートを無期限に自動無視するか、パッチが利用可能になるまでスヌーズすることができます。
- Dependabot で、対象となるメタデータに一致するアラートを解決するための変更を提案する場合は、[pull requestを開く] を選択してこのアラートを解決します。 このオプションは、アラートを無期限に無視するオプションを既に選択している場合、またはリポジトリ設定で Dependabot security updates が有効になっている場合は使用できないことに注意してください。
-
[ルールの作成] をクリックします。
カスタム自動トリアージ ルール を Organization に追加する
組織内のすべての対象リポジトリに カスタム自動トリアージ ルール を追加することができます。 詳しくは、「組織のグローバル セキュリティ設定の構成」を参照してください。
リポジトリの カスタム自動トリアージ ルール の編集または削除
-
GitHub で、リポジトリのメイン ページに移動します。
-
リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
-
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
-
「Dependabot alerts」で、「Dependabot rules」ルール付近の をクリックします。
-
[Repository rules](ポジトリ ルール) で、編集または削除するルールの右側にある をクリックします。
-
ルールを編集するには、該当するフィールドに変更を加え、[ルールの保存] をクリックします。
-
ルールを削除するには、[Danger Zone] で [ルールの削除] をクリックします。
-
[このルールを削除しますか?] ダイアログ ボックスで情報を確認し、[ルールの削除] をクリックします。
Organization の カスタム自動トリアージ ルール の編集または削除
組織内のすべての対象リポジトリの カスタム自動トリアージ ルール を編集または削除できます。 詳しくは、「組織のグローバル セキュリティ設定の構成」を参照してください。