Dependabot アラートの構成

新しい脆弱な依存関係がいずれかのリポジトリに見つかった場合に、Dependabot alertsが生成されるようにします。

この記事の内容

脆弱性のある依存関係の Dependabot alerts

脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。 脆弱性の種類、重要度、攻撃の方法は様々です。

GitHub Advisory Database に新しいアドバイザリが追加されたとき、またはリポジトリの依存関係グラフが変更されたとき、Dependabot によってコードがスキャンされます。 脆弱な依存関係が検出されると、Dependabot alertsが生成されます。 詳しくは、「Dependabot アラートについて」を参照してください。

Dependabot security updatesをリポジトリに対して有効にしている場合、アラートには、脆弱性を解決する最小バージョンにマニフェストまたはロック ファイルを更新する pull request へのリンクも含まれる場合があります。 詳しくは、「Dependabot のセキュリティ アップデート」を参照してください。

次の場合、Dependabot alerts を有効か無効にできます。

  • 個人アカウント
  • リポジトリ
  • Organization
  • Enterprise

さらに、Dependabot 自動トリアージ ルール を使用してアラートを大規模に管理できるため、アラートを自動的に閉じたりスヌーズしたりして、pull requestを開く Dependabot アラートを指定できます。 さまざまな種類の自動トリアージ ルールと、およびリポジトリが適格かどうかについては、「Dependabot 自動トリアージ ルールについて」を参照してください。

個人アカウントの Dependabot alerts の管理

個人アカウントが所有するすべてのリポジトリの Dependabot alerts を有効か無効にできます。

既存のリポジトリに対する Dependabot alerts の有効化または無効化

  1. GitHub で、任意のページの右上隅にある自分のプロフィール写真をクリックしてから、 [設定] をクリックします。
  2. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
  3. Code security and analysis で、Dependabot alerts の右側にある [すべて無効にする][すべて有効にする] をクリックします。
  4. 必要に応じて、作成した新しいリポジトリで Dependabot alerts を既定で有効にするには、ダイアログ ボックスで [新しいリポジトリに対して既定で有効にする] を選びます。
  5. [Dependabot alertsを無効にする][Dependabot alertsを有効にする] をクリックすると、所有しているすべてのリポジトリに対して Dependabot alerts を無効か有効にすることができます。

既存のリポジトリに対して Dependabot alerts を有効にすると、数分以内に GitHub に結果が表示されるようになります。

新規リポジトリに対する Dependabot alerts の有効化または無効化

  1. GitHub で、任意のページの右上隅にある自分のプロフィール写真をクリックしてから、 [設定] をクリックします。
  2. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
  3. [コード セキュリティと分析] の Dependabot alerts の右側にある [新しいリポジトリに対して自動的に有効にする] を選びます。

リポジトリの Dependabot alerts の管理

パブリック、プライベート、または内部リポジトリの Dependabot alerts を管理できます。

既定では、新しいDependabot alertsに関して影響を受けるリポジトリに書き込み、保守、または管理アクセス権を持つ人に通知されます。 GitHub Enterprise Cloud は、どのようなリポジトリについても、安全でない依存関係を公表することはありません。 Dependabot alerts を、自分が所有または管理者権限を持っているリポジトリで作業している追加のユーザーやチームに表示することもできます。

セキュリティ機能と分析機能を有効にした場合、GitHub はリポジトリで読み取り専用分析を実行します。

リポジトリに対する Dependabot alerts の有効化および無効化

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

  4. [コードのセキュリティと分析] で、Dependabot alertsの右側にある [有効にする] をクリックしてアラートを有効にするか、 [無効にする] をクリックしてアラートを無効にします。

Organization の Dependabot alerts の管理

データ変数.product.prodname_dependabot_alerts %} を、組織内の対象となるすべてのリポジトリに対して有効にできます。 詳しくは、「組織での GitHub で推奨されるセキュリティ構成の適用」を参照してください。

Enterprise の Dependabot alerts の管理

Enterprise 内の Organization が所有する現在と将来のすべてのリポジトリに対して、Dependabot alerts を有効または無効にできます。 変更はすべてのリポジトリに影響します。

注: Enterprise レベルで Dependabot alerts を有効または無効にすると、Dependabot alerts の Organization およびリポジトリ レベルの設定はオーバーライドされます。

  1. GitHub の右上の自分のプロフィール写真をクリックし、[自分の Enterprise] をクリックします。

  2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。

  3. ページの左側にある Enterprise アカウントのサイドバーで、 [設定] をクリックします。

  4. 左側のサイドバーで、 [コードのセキュリティと分析] をクリックします。

  5. この [Dependabot] セクションの [Dependabot alerts] の右側にある [すべて無効にする] または [すべて有効にする] をクリックします。

  6. 必要に応じて、 [Automatically enable for new repositories] (新しいリポジトリの場合は自動的に有効にする) を選ぶと、Organization の新しいリポジトリで Dependabot alerts が既定で有効になります。