このバージョンの GitHub Enterprise サーバーはこの日付をもって終了となりました: 2024-03-26. 重大なセキュリティの問題に対してであっても、パッチリリースは作成されません。 パフォーマンスの向上、セキュリティの向上、新機能の向上を図るために、最新バージョンの GitHub Enterprise サーバーにアップグレードしてください。 アップグレードに関するヘルプについては、GitHub Enterprise サポートにお問い合わせください

Dependabot アラートの構成

新しい脆弱な依存関係がいずれかのリポジトリに見つかった場合に、Dependabot alertsが生成されるようにします。

この記事の内容

脆弱性のある依存関係の Dependabot alerts

脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。 脆弱性の種類、重要度、攻撃の方法は様々です。

GitHub Advisory Database に新しいアドバイザリが追加されたとき、またはリポジトリの依存関係グラフが変更されたとき、Dependabot によってコードがスキャンされます。 脆弱な依存関係が検出されると、Dependabot alertsが生成されます。 詳しくは、「Dependabot アラートについて」を参照してください。

Dependabot security updatesをリポジトリに対して有効にしている場合、アラートには、脆弱性を解決する最小バージョンにマニフェストまたはロック ファイルを更新する pull request へのリンクも含まれる場合があります。 詳しくは、「Dependabot のセキュリティ アップデート」を参照してください。

次の場合、Dependabot alerts を有効か無効にできます。

  • 個人アカウント
  • リポジトリ
  • 組織

個人アカウントの Dependabot alerts の管理

リポジトリの Dependabot alerts は、エンタープライズ所有者が有効か無効にできます。 詳しくは、「エンタープライズ向けの Dependabot の有効化」を参照してください。

リポジトリの Dependabot alerts の管理

既定では、新しいDependabot alertsに関して影響を受けるリポジトリに管理アクセス権を持つ人に通知されます。 GitHub Enterprise Server は、どのようなリポジトリについても、安全でない依存関係を公表することはありません。 Dependabot alerts を、自分が所有または管理者権限を持っているリポジトリで作業している追加のユーザーやチームに表示することもできます。

リポジトリの Dependabot alerts は、エンタープライズ所有者が有効か無効にできます。 詳しくは、「エンタープライズ向けの Dependabot の有効化」を参照してください。

組織の Dependabot alerts の管理

組織の Dependabot alerts を有効または無効にすることができるのはエンタープライズ所有者です。 詳しくは、「エンタープライズ向けの Dependabot の有効化」を参照してください。