Skip to main content

このバージョンの GitHub Enterprise サーバーはこの日付をもって終了となりました: 2024-03-26. 重大なセキュリティの問題に対してであっても、パッチリリースは作成されません。 パフォーマンスの向上、セキュリティの向上、新機能の向上を図るために、最新バージョンの GitHub Enterprise サーバーにアップグレードしてください。 アップグレードに関するヘルプについては、GitHub Enterprise サポートにお問い合わせください

Dependabot アラートの通知を構成する

Dependabot alerts に関する通知の受信方法を最適化する

Dependabot alerts の通知について

Dependabot によりリポジトリ内の脆弱な依存関係が検出されると、Dependabot アラートが生成され、そのリポジトリの [Security] (セキュリティ) タブに表示されます。 GitHub Enterprise Server では、影響を受けるリポジトリのメンテナーに、その通知設定に従って新しいアラートを通知します。

デフォルトでは、Enterprise のオーナーが Enterprise での通知のためのメールを設定していれば、あなたはメールで Dependabot alerts を受け取ることになります。

Enterprise のオーナーは、通知なしで Dependabot alerts を有効にすることもできます。 詳しくは、「エンタープライズ向けの Dependabot の有効化」を参照してください。

Dependabot alertsの通知設定

新しい Dependabot のアラートが検出されると、GitHub Enterprise Server によって、通知の設定に従って、リポジトリについて Dependabot alerts にアクセスできるすべてのユーザーに通知されます。 あなたがリポジトリを監視しており、セキュリティ アラートまたはリポジトリ上のすべてのアクティビティの通知を有効にしていて、リポジトリを無視していない場合は、アラートが通知されます。 詳しくは、「通知を設定する」を参照してください。

各ページの上部に表示される [Manage notifications] ドロップダウン から、自分または Organization の通知設定を構成できます。 詳しくは、「通知を設定する」を参照してください。

通知の配信方法と、通知が送信される頻度を選択できます。 既定では、Enterprise 所有者がインスタンスにおいて通知するようにメールを構成している場合、Dependabot alertsを受け取ります。

  • インボックス (Web 通知として)。 Web 通知は、Dependabot がリポジトリで有効にされていて、新しいマニフェスト ファイルがリポジトリにコミットされたときに、重要度が重大または高の新しい脆弱性が見つかった場合に送信されます ( [GitHub 上] オプション)。
  • メールでは、Dependabot がリポジトリで有効にされており、新しいマニフェスト ファイルがリポジトリにコミットされたときに重要度が重大または高の新しい脆弱性が見つかった場合、メールが送信されます ([Email] オプション)。
  • コマンド ライン。セキュリティで保護されていない依存関係を使用してリポジトリにプッシュすると、警告がコールバックとして表示されます ( [CLI] オプション)。
  • GitHub Mobileでは、Web通知として表示されます。 詳しくは、「通知を設定する」を参照してください。

注: メールおよび WebGitHub Mobile通知は次のとおりです。

  • Dependabot がリポジトリで有効にされているとき、または新しいマニフェスト ファイルがリポジトリにコミットされたときは、"リポジトリごと"。

  • 新しい脆弱性が検出されたときは、"組織ごと"。

  • 新しい脆弱性が検出されたときに送信されます。 脆弱性が更新されたときには、GitHub は通知を送信しません。

Dependabot alertsに関する通知を受け取る方法をカスタマイズできます。 たとえば、 [脆弱性の要約をメールで送る][週単位のセキュリティ メール ダイジェスト] オプションを使用すると、最大 10 個のリポジトリについてアラートを要約した週単位のダイジェスト メールを受け取ることができます。

Dependabot alerts の通知オプションのスクリーンショット。

注: GitHub で通知をフィルター処理して、Dependabot alerts を表示できます。 詳しくは、「インボックスからの通知を管理する」を参照してください。

1 つ以上のリポジトリに影響する Dependabot alerts のメール通知には、X-GitHub-Severity ヘッダー フィールドが含まれます。 X-GitHub-Severity ヘッダー フィールドの値を使用して、Dependabot alerts のメール通知をフィルター処理できます。 詳しくは、「通知を設定する」をご覧ください。

Dependabot alerts の通知によるノイズを軽減する方法

Dependabot alertsの通知をあまりに多く受け取ることが心配なら、週次のメールダイジェストにオプトインするか、Dependabot alertsを有効化したままで通知をオフにすることをおすすめします。 Dependabot alerts は、リポジトリの [セキュリティ] タブで引き続き確認できます。詳しくは、「Dependabot アラートの表示と更新」をご覧ください。

参考資料