脆弱性のある依存関係の Dependabot alerts
脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。 脆弱性の種類、重要度、攻撃の方法は様々です。
GitHub Advisory Database に新しいアドバイザリが追加されたとき、またはリポジトリの依存関係グラフが変更されたとき、Dependabot によってコードがスキャンされます。 脆弱な依存関係が検出されると、Dependabot alertsが生成されます。 詳しくは、「Dependabot アラートについて」を参照してください。
Dependabot security updatesをリポジトリに対して有効にしている場合、アラートには、脆弱性を解決する最小バージョンにマニフェストまたはロック ファイルを更新する pull request へのリンクも含まれる場合があります。 詳しくは、「Dependabot のセキュリティ アップデート」を参照してください。
次の場合、Dependabot alerts を有効か無効にできます。
- 個人アカウント
- リポジトリ
- 組織
個人アカウントの Dependabot alerts の管理
リポジトリの Dependabot alerts は、エンタープライズ所有者が有効か無効にできます。 詳しくは、「エンタープライズ向けの Dependabot の有効化」を参照してください。
リポジトリの Dependabot alerts の管理
既定では、新しいDependabot alertsに関して影響を受けるリポジトリに管理アクセス権を持つ人に通知されます。 GitHub Enterprise Server は、どのようなリポジトリについても、安全でない依存関係を公表することはありません。 Dependabot alerts を、自分が所有または管理者権限を持っているリポジトリで作業している追加のユーザーやチームに表示することもできます。
リポジトリの Dependabot alerts は、エンタープライズ所有者が有効か無効にできます。 詳しくは、「エンタープライズ向けの Dependabot の有効化」を参照してください。
組織の Dependabot alerts の管理
組織の Dependabot alerts を有効または無効にすることができるのはエンタープライズ所有者です。 詳しくは、「エンタープライズ向けの Dependabot の有効化」を参照してください。