Skip to main content

GitHub プリセット ルールを使用して Dependabot アラートに優先順位を付ける

GitHub によってキュレーションされた既定 ルールである GitHub プリセット を使用すると、npm 依存関係の影響度の低い開発アラートを自動的に無視できます。

この機能を使用できるユーザーについて

People with write permissions can view Dependabot 自動トリアージ ルール for the repository. People with admin permissions to a repository can enable or disable GitHub プリセット for the repository. Organization owners and security managers can enable or disable GitHub プリセット at the organization-level and optionally choose to enforce rules for repositories in the organization.

GitHub プリセット

について

Dismiss low impact issues for development-scoped dependencies ルール は、開発で使用される npm 依存関係で見つかった特定のタイプの脆弱性を自動的に無視する GitHub プリセットです。 これらのアラートの対象となるケースは、関連する脆弱性が次のようなものであるため、ほとんどの開発者には誤報のように感じられます。

  • 開発者 (非運用またはランタイム) 環境で悪用される可能性が低い。
  • リソース管理、プログラミングとロジック、情報漏えいの問題に関連する場合がある。
  • 最悪の場合でも、ビルド速度の低下やテストの長時間化など、影響が限定的である。
  • 運用環境での問題を示すものではない。

注: 影響の少ない開発アラートの自動無視は、現在、npm でのみサポートされています。

Dismiss low impact issues for development-scoped dependencies ルールには、リソース管理、プログラミングとロジック、情報開示の問題に関連する脆弱性が含まれています。 詳しい情報については、「Dismiss low impact issues for development-scoped dependencies ルールで使用される公開済み CWE」を参照してください。

これらの影響の少ないアラートを除外すると、リスクが高い可能性のある開発スコープのアラートを見逃すことを心配する必要がなくなり、自分にとって重要なアラートに集中できます。

Dismiss low impact issues for development-scoped dependencies ルールはパブリック リポジトリではデフォルトで有効になり、プライベート リポジトリでは無効になります。 プライベート リポジトリの管理者は、リポジトリのルールを有効にすることでオプトインできます。

プライベート リポジトリの Dismiss low impact issues for development-scoped dependencies ルールを有効にする

リポジトリの Dependabot alertsは、Enterprise 所有者が有効または無効にすることができます。 詳しくは、「エンタープライズ向けの Dependabot の有効化」をご覧ください。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

  4. 「Dependabot alerts」で、「Dependabot rules」ルール付近の をクリックします。

    リポジトリの [コードのセキュリティと分析] ページのスクリーンショット。 歯車のアイコンがオレンジ色の枠線で強調表示されています。

  5. [GitHub presets](GitHub プリセット) の Dismiss low impact issues for development-scoped dependencies の右側にある をクリックします。

  6. State でドロップダウン メニューを選択し、Enabled をクリックします。

  7. [Save rule](ルールの保存) をクリックします。

ルール Dismiss low impact issues for development-scoped dependencies で使用される公開済み CWE

ecosystem:npm および scope:development アラートのメタデータと共に、GitHub でキュレーションされた次の共通脆弱性タイプ一覧 (CWE) を使用して、Dismiss low impact issues for development-scoped dependencies ルールの影響の少ないアラートを除外します。 この一覧と、組み込みルールの対象となる脆弱性パターンを定期的に改善しています。

リソース管理の問題

  • CWE-400 未制御のリソース消費
  • CWE-770 制限またはスロットリングなしのリソースの割り当て
  • CWE-409 高圧縮データの不適切な処理 (データ増幅)
  • CWE-908 初期化されていないリソースの使用
  • CWE-1333 非効率的な正規表現の複雑さ
  • CWE-835 到達不能な終了条件を持つループ ('無限ループ')
  • CWE-674 不適切な再帰制御
  • CWE-1119 無条件分岐の過剰使用

プログラミングおよびロジックのエラー

  • CWE-185 不正な正規表現
  • CWE-754 例外的な状態における不適切なチェック
  • CWE-755 例外的な状態における不適切な処理
  • CWE-248 キャッチされない例外
  • CWE-252 未チェックの戻り値
  • CWE-391 未チェックのエラー状態
  • CWE-696 不正な動作順
  • CWE-1254 不正な比較ロジックの粒度
  • CWE-665 不適切な初期化
  • CWE-703 例外的な状況に対する不適切なチェックまたは処理
  • CWE-178 大文字と小文字の区別の不適切な処理

情報漏えいの問題

  • CWE-544 標準化されたエラー処理メカニズムの欠落
  • CWE-377 安全でない一時ファイル
  • CWE-451 ユーザー インターフェース (UI) における重要情報の誤った表示
  • CWE-668 誤った領域へのリソースの漏えい