脆弱性のある依存関係の Dependabot alerts
脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。 脆弱性の種類、重要度、攻撃の方法は様々です。
GitHub Advisory Database に新しいアドバイザリが追加されたとき、またはリポジトリの依存関係グラフが変更されたとき、Dependabot によってコードがスキャンされます。 脆弱な依存関係が検出されると、Dependabot alertsが生成されます。 詳しくは、「Dependabot アラートについて」を参照してください。
Dependabot security updatesをリポジトリに対して有効にしている場合、アラートには、脆弱性を解決する最小バージョンにマニフェストまたはロック ファイルを更新する pull request へのリンクも含まれる場合があります。 詳しくは、「Dependabot のセキュリティ アップデート」を参照してください。
次の場合、Dependabot alerts を有効か無効にできます。
- 個人アカウント
- リポジトリ
- Organization
- Enterprise
さらに、Dependabot 自動トリアージ ルール を使用してアラートを大規模に管理できるため、アラートを自動的に閉じたりスヌーズしたりして、pull requestを開く Dependabot アラートを指定できます。 さまざまな種類の自動トリアージ ルールと、およびリポジトリが適格かどうかについては、「Dependabot 自動トリアージ ルールについて」を参照してください。
個人アカウントの Dependabot alerts の管理
リポジトリの Dependabot alerts は、Enterprise 所有者が有効か無効にできます。 詳しくは、「エンタープライズ向けの Dependabot の有効化」を参照してください。
リポジトリの Dependabot alerts の管理
パブリック、プライベート、または内部リポジトリの Dependabot alerts を管理できます。
既定では、新しいDependabot alertsに関して影響を受けるリポジトリに書き込み、保持、管理権限を持っている人に通知を行います。 GitHub Enterprise Server は、どのようなリポジトリについても、安全でない依存関係を公表することはありません。 Dependabot alerts を、自分が所有または管理者権限を持っているリポジトリで作業している追加のユーザーやチームに表示することもできます。
Enterprise 所有者がEnterprise の Dependabot を最初に設定しておかないと、リポジトリの Dependabot alerts を管理できません。 詳しくは、「エンタープライズ向けの Dependabot の有効化」をご覧ください。
リポジトリに対する Dependabot alerts の有効化および無効化
-
GitHub で、リポジトリのメイン ページに移動します。
-
リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
-
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
-
[コードのセキュリティと分析] で、Dependabot alertsの右側にある [有効にする] をクリックしてアラートを有効にするか、 [無効にする] をクリックしてアラートを無効にします。
Organization の Dependabot alerts の管理
組織内のすべての対象リポジトリに対して、Dependabot alerts を有効にできます。 詳しくは、「大規模なセキュリティ機能の有効化について」を参照してください。
Enterprise の Dependabot alerts の管理
Enterprise 内の Organization が所有する現在と将来のすべてのリポジトリに対して、Dependabot alerts を有効または無効にできます。 変更はすべてのリポジトリに影響します。
-
GitHub Enterprise Server の右上で、ご自分のプロフィール フォトをクリックしてから、 [Enterprise 設定] をクリックします。
-
ページの左側にある Enterprise アカウントのサイドバーで、 [設定] をクリックします。
-
左側のサイドバーで、 [コードのセキュリティと分析] をクリックします。
-
この [Dependabot] セクションの [Dependabot alerts] の右側にある [すべて無効にする] または [すべて有効にする] をクリックします。
-
必要に応じて、 [Automatically enable for new repositories] (新しいリポジトリの場合は自動的に有効にする) を選ぶと、Organization の新しいリポジトリで Dependabot alerts が既定で有効になります。