Note: Dependabot alert rules are currently in beta and are subject to change.
Dependabot アラート ルールについて
Dependabot アラート ルールを使用すると、さまざまなコンテキスト条件の複雑なロジックに基づいて、特定のアラートを自動的に無視するか、または再オープンするように Dependabot に指示できます。
Dependabot アラート ルールには、次の 2 種類があります。
- GitHub のによってキュレーションされたルール、いわゆる
Dismiss low impact alerts - ユーザーが作成したカスタム ルール
GitHub によってキュレーションされたルール、Dismiss low impact alerts は、開発中に使用される npm 依存関係に存在する特定の種類の脆弱性を自動的に無視します。 このルールは、誤検知を減らし、アラートの疲労を軽減するためにキュレーションされています。 このルールは、公開用 リポジトリに対してデフォルトで有効になっており、プライベート リポジトリに対してオプトインできます。 ただし、GitHub によってキュレーションされたルールは変更できません。 詳しくは、「GitGub でキュレーションされたアラート ルールを使用して Dependabot アラートの優先度を設定する」を参照してください。
ユーザーが作成したカスタム ルールを使用すると、独自のルールを作成して、独自の条件、例えば可分性、パッケージ名、CWE などに基づいてアラートを自動的に無視するか、再度開くことができます。 詳しくは、「アラート ルールをカスタマイズして Dependabot アラートの優先度を設定する」をご覧ください。
アラートを自動無視すると便利な場合がありますが、その場合でも、自動無視されたアラートを再オープンしたり、自動無視されたアラートをフィルター処理して表示したりすることができます。 詳しくは、「アラート ルールによって自動的に無視されたアラートの管理」を参照してください。
さらに、アラートは、自動無視されてもレポートおよびレビューに使用できます。また、アラート メタデータが変更された場合、自動再オープンされます。たとえば、次のような場合があります。
- 依存関係のスコープを開発から運用に変更する場合。
- GitHub で、関連するアドバイザリの特定のメタデータを変更する場合。
自動無視されるアラートは、resolution:auto-dismiss クローズ理由によって定義されます。 自動無視アクティビティは、アラート Webhook、REST および GraphQL API、Audit log に含まれます。 詳しくは、REST API のドキュメントの「Dependabot alerts」および「Organization の Audit log をレビューする」の「repository_vulnerability_alert」セクションを参照してください。