GitHub Enterprise Server の Dependabot について
Dependabot を使用すると、your GitHub Enterprise Server instance のユーザーが依存関係の脆弱性を見つけて修正するのに役立ちます。Dependabot alerts を有効にして、脆弱な依存関係についてユーザーに通知し、Dependabot updates を有効にして脆弱性を修正し、依存関係を最新バージョンに更新することができます。
Dependabot は、your GitHub Enterprise Server instance のサプライ チェーンのセキュリティを強化するために使用できる多くの機能の 1 つに過ぎません。 他の機能の詳細については、「エンタープライズ向けサプライ チェーン セキュリティについて」を参照してく� さい。
Dependabot alerts について
Dependabot alerts により、GitHub は、GitHub Advisory Database のデータと依存関係グラフ サービスを使い、リポジトリ内の安全でない依存関係を特定して your GitHub Enterprise Server instance にアラートを作成します。
アドバイザリは、以下のソースから GitHub Advisory Database に追� されます。
- GitHubで� �告されたセキュリティアドバイザリ
- National Vulnerability Database
- npm セキュリティ アドバイザリ データベース
- FriendsOfPHP データベース
- Go Vulncheck データベース
- GitHub Packaging Advisory データベース
- Ruby Advisory データベース
- RustSec Advisory データベース
- コミュニティのコード提供。 詳細については、「https://github.com/github/advisory-database/pulls」を参照してく� さい。
アドバイザリのインポート元として他のデータベースに心当たりがある� �合は、https://github.com/github/advisory-database で issue をオープンしてお知らせく� さい。
エンタープライズに対して Dependabot alerts を有効にすると、脆弱性データが GitHub Advisory Database からインスタンスに 1 時間に 1 回同期されます。 GitHub でレビューされたアドバイザリのみが同期されます。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」をご覧く� さい。
また、脆弱性データはいつでも手動で同期することができます。 詳細については、「エンタープライズの脆弱性データの表示」を参照してく� さい。
注: Dependabot alerts を有効にすると、your GitHub Enterprise Server instance のコードやコードに関する情� �は、GitHub.com にアップロードされません。
your GitHub Enterprise Server instance は、脆弱性に関する情� �を受け取ると、影響を受けるバージョンの依存関係を使用する your GitHub Enterprise Server instance 内のリポジトリを識別して、Dependabot alerts を生成します。 新しい Dependabot alerts についてユーザーに自動的に通知するかどうかを選択できます。
Dependabot alerts が有効になっているリポジトリの� �合、マニフェスト ファイルまたはロック ファイルを含む既定のブランチへの任意のプッシュでスキャンがトリガーされます。 さらに、新しい脆弱性レコードが your GitHub Enterprise Server instance に追� されると、GitHub Enterprise Server は your GitHub Enterprise Server instance のすべての既存のリポジトリをスキャンして、脆弱なリポジトリについてのアラートを生成します。 詳細については、「Dependabot alerts について」を参照してく� さい。
Dependabot updates について
Dependabot alerts を有効にした後、Dependabot updates を有効にすることができます。 Dependabot updates が your GitHub Enterprise Server instance に対して有効になっている� �合、ユーザーはリポジトリを構成して、依存関係の更新とセキュリティ保護が自動的に行われるようにすることができます。
注: GitHub Enterprise Server の Dependabot updates には、セルフホステッド ランナーを含む GitHub Actions が必要です。
既定では、Dependabot で使用される GitHub Actions ランナーは、上流パッケージ マネージャーから更新されたパッケージをダウンロードするために、インターネットにアクセスする必要があります。 GitHub Connect を利用する Dependabot updates の� �合、インターネット アクセスにより、GitHub.com でホストされる依存関係とアドバイザリへのアクセスを可能にするトークンがランナーに提供されます。
Dependabot updates では、GitHub によって、依存関係を更新するためのプル要求が 2 つの方法で自動的に作成されます。
- Dependabot version updates : 追跡対象の依存関係の新しいバージョンがリリースされたときに Dependabot がプル要求を作成できるように、ユーザーは Dependabot 構成ファイルをリポジトリに追� します。 詳細については、「Dependabot version updates について」を参照してく� さい。
- Dependabot security updates : ユーザーは、GitHub でリポジトリの依存関係グラフのいずれかの依存関係で脆弱性が検出されたときに、Dependabot がプル要求を作成できるようにリポジトリ設定を切り替えます。 詳細については、「Dependabot alerts について」と「Dependabot security updates について」を参照してく� さい。
Dependabot alerts の有効化
Dependabot alerts を有効にする前に、次のことを行います。
- GitHub Connect を有効にする必要がある。 詳細については、「GitHub Connect の管理」を参照してく� さい。
- 依存関係グラフを有効にする必要がある。 詳細については、「企業の依存関係グラフの有効化」を参照してく� さい。
-
GitHub Enterprise Server の右上で、ご自分のプロファイル写真をクリックしてから、 [Enterprise 設定] をクリックします。 1. [Enterprise アカウント] サイドバーで、 [GitHub Connect] をクリックします。
-
[リポジトリは脆弱性のスキャンが可能] で、ドロップダウンメニューを選択して、 [有効 (通知なし)] を選択します。 必要に応じて、通知ありでアラートを有効にするには、 [有効 (通知あり)] をクリックします。
ヒント: メールの過� 荷を避けるため、最初の数日間は Dependabot alerts を通知なしに設定することをお勧めします。 数日後、通知を有効化して、通常どおり Dependabot alerts を受信できます。
Dependabot alerts を有効にする� �合は、Dependabot security updates に対して GitHub Actions を設定することも検討する必要があります。 この機能により、開発者は依存関係の脆弱性を修正できます。 詳細については、「エンタープライズでの Dependabot updates のセルフホステッド ランナーの管理」を参照してく� さい。
セキュリティを強化する必要がある� �合は、プライベート レジストリを使用するように Dependabot を構成することをお勧めします。 詳細については、「Dependabot に対する暗号化されたシークレットを管理する」を参照してく� さい。