依存関係グラフを設定する

依存関係グラフについて

依存関係グラフは、リポジトリに格納されているマニフェストおよびロック ファイル、および 依存関係送信 API を使用してリポジトリに送信された依存関係の概要です。 それぞれのリポジトリについて、以下が表示されます:

• リポジトリが依存している依存関係、エコシステム、パッケージ
• 依存、依存するリポジトリ、パッケージ

依存関係ごとに、ライセンス情報と 脆弱性の重大度を確認できます。 検索バーを使用して、特定の依存関係を検索することもできます。 依存関係は、脆弱性の重大度によって自動的に並べ替えられます。

詳しくは、「依存関係グラフについて」を参照してください。

依存関係グラフを設定する

依存関係グラフを生成するには、GitHub がリポジトリの依存関係のマニフェストとロックファイルに読み取りアクセスできる必要があります。 依存関係グラフは、すべてのパブリック リポジトリに対して自動的に生成され、プライベート リポジトリに対して有効にすることができます。 依存関係グラフの表示について詳しくは、「リポジトリの依存関係を調べる」をご覧ください。

さらに、依存関係送信 API を使用して、マニフェストやロック ファイルの分析で依存関係グラフがサポートされていないエコシステムであっても、任意のパッケージ マネージャーやエコシステムから依存関係を送信することができます。 依存関係送信 API を使用してプロジェクトに送信された依存関係には、送信に使用された検出機能と、それらが送信された日時が表示されます。 依存関係送信 API の詳細については、「Dependency Submission API を使用する」を参照してください。

プライベートリポジトリの依存関係グラフを有効化および無効化する

リポジトリ管理者は、プライベート リポジトリの依存関係グラフを有効または無効にすることができます。

ユーザーアカウントが所有するすべてのリポジトリの依存関係グラフを有効または無効にすることができます。 詳しくは、「個人アカウントのセキュリティと分析設定を管理する」をご覧ください。

組織内の複数のリポジトリに対して同時に依存関係グラフを有効にすることもできます。 詳しくは、「組織のセキュリティ」 をご覧ください。

1. GitHub で、リポジトリのメイン ページに移動します。

2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

   

3. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

4. リポジトリ データへの読み取りアクセスを GitHub に許可して依存関係グラフを有効にすることに関するメッセージを読んだうえで、[依存関係グラフ] の隣にある [有効] をクリックします。

   

   [コードのセキュリティと分析] の設定ページで、[依存関係グラフ] の横にある [無効] をクリックすることで、いつでも依存関係グラフを無効にできます。

依存関係グラフを初めて有効化すると、サポートされているエコシステムのマニフェストおよびロックファイルがすぐに解析されます。 グラフは通常数分以内に入力されますが、多くの依存関係を持つリポジトリの場合は時間がかかる場合があります。 有効にすると、リポジトリにプッシュするたびに、またグラフ中の他のリポジトリにプッシュするたびに、グラフが自動的に更新されます。

参考資料

• 「リポジトリの依存関係の自動送信の構成」
• Dependabot アラートの表示と更新
• 脆弱性のある依存関係の検出のトラブルシューティング