Skip to main content

Enterprise Server 3.15 は、現在リリース候補として使用できます。

Dependabot アラートの通知を構成する

Dependabot alerts に関する通知の受信方法を最適化する

Dependabot alerts の通知について

Dependabot によりリポジトリ内の脆弱な依存関係が検出されると、Dependabot アラートが生成され、そのリポジトリの [Security] (セキュリティ) タブに表示されます。 GitHub Enterprise Server では、影響を受けるリポジトリのメンテナーに、その通知設定に従って新しいアラートを通知します。

Dependabot では、マルウェアに対する Dependabot alertsは生成されません。 詳しくは、「GitHub Advisory Database について」を参照してください。

通知の設定に関係なく、Dependabot が最初に有効になっている場合、リポジトリ内で見つかったすべての脆弱な依存関係に関する通知は GitHub Enterprise Server により、送信されません。 代わりに、通知設定で許可されている場合、Dependabot が有効になった後に特定された新しい脆弱な依存関係に関する通知を受け取ります。

デフォルトでは、Enterprise のオーナーが Enterprise での通知のためのメールを設定していれば、あなたはメールで Dependabot alerts を受け取ることになります。

Enterprise のオーナーは、通知なしで Dependabot alerts を有効にすることもできます。 詳しくは、「エンタープライズ向けの Dependabot の有効化」を参照してください。

Dependabot alertsの通知設定

新しい Dependabot のアラートが検出されると、GitHub Enterprise Server によって、通知の設定に従って、リポジトリについて Dependabot alerts にアクセスできるすべてのユーザーに通知されます。 あなたがリポジトリを監視しており、セキュリティ アラートまたはリポジトリ上のすべてのアクティビティの通知を有効にしていて、リポジトリを無視していない場合は、アラートが通知されます。 詳しくは、「通知を設定する」を参照してください。

各ページの上部に表示される [Manage notifications] ドロップダウン から、自分または Organization の通知設定を構成できます。 詳しくは、「通知を設定する」を参照してください。

通知の配信方法と、通知が送信される頻度を選択できます。 既定では、Enterprise 所有者がインスタンスにおいて通知するようにメールを構成している場合、Dependabot alertsを受け取ります。

  • インボックスで、Web 通知として。 Web 通知は、Dependabot がリポジトリで有効にされていて、新しいマニフェスト ファイルがリポジトリにコミットされたときに、重要度が重大または高の新しい脆弱性が見つかった場合に送信されます ( [GitHub 上] オプション)。
  • メールで。 メールは、Dependabot がリポジトリで有効にされており、新しいマニフェスト ファイルがリポジトリにコミットされたときに重要度が重大または高の新しい脆弱性が見つかった場合に送信されます ([Email] オプション)。
  • コマンド ラインで。 安全ではない依存関係があるリポジトリにプッシュを行うと、コールバックとして警告が表示されます ([CLI] オプション)。
  • GitHub Mobile では、Web 通知として表示されます。 詳しくは、「通知を設定する」を参照してください。

注: メールおよび WebGitHub Mobile通知は次のとおりです。

  • Dependabot がリポジトリで有効にされているとき、または新しいマニフェスト ファイルがリポジトリにコミットされたときは、"リポジトリごと"。

  • 新しい脆弱性が検出されたときは、"組織ごと"。

  • 新しい脆弱性が検出されたときに送信されます。 脆弱性が更新されたときには、GitHub は通知を送信しません。

Dependabot alertsに関する通知を受け取る方法をカスタマイズできます。 たとえば、 [脆弱性の要約をメールで送る][週単位のセキュリティ メール ダイジェスト] オプションを使用すると、最大 10 個のリポジトリについてアラートを要約した週単位のダイジェスト メールを受け取ることができます。

Dependabot alerts の通知オプションのスクリーンショット。

注: GitHub で通知をフィルター処理して、Dependabot alerts を表示できます。 詳しくは、「インボックスからの通知を管理する」を参照してください。

1 つ以上のリポジトリに影響する Dependabot alerts のメール通知には、X-GitHub-Severity ヘッダー フィールドが含まれます。 X-GitHub-Severity ヘッダー フィールドの値を使用して、Dependabot alerts のメール通知をフィルター処理できます。 詳しくは、「通知を設定する」をご覧ください。

Dependabot alerts の通知によるノイズを軽減する方法

Dependabot alertsの通知をあまりに多く受け取ることが心配なら、週次のメールダイジェストにオプトインするか、Dependabot alertsを有効化したままで通知をオフにすることをおすすめします。 Dependabot alerts は、リポジトリの [セキュリティ] タブで引き続き確認できます。詳しくは、「Dependabot アラートの表示と更新」をご覧ください。

参考資料