Configuring Dependabot alerts

About Dependabotアラート for vulnerable dependencies and malware

脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。 脆弱性の種類、重要度、攻撃の方法は様々です。

Dependabot scans code when a new advisory is added to the GitHub Advisory Database or the dependency graph for a repository changes. When vulnerable dependencies or malware are detected, Dependabotアラート are generated. For more information, see "About Dependabotアラート."

You can enable or disable Dependabotアラート for:

• Your personal account
• Your repository
• Your organization

Managing Dependabotアラート for your personal account

You can enable or disable Dependabotアラート for all repositories owned by your personal account.

Enabling or disabling Dependabotアラート for existing repositories

1. 任意のページの右上で、プロフィール画像をクリックし、続いてSettings（設定）をクリックしてください。

   

2. In the "Security" section of the sidebar, click Code security and analysis.

3. Under "Code security and analysis", to the right of Dependabotアラート, click Disable all or Enable all.

4. Optionally, enable Dependabotアラート by default for new repositories that you create.

5. Click Disable Dependabotアラート or Enable Dependabotアラート to disable or enable Dependabotアラート for all the repositories you own.

When you enable Dependabotアラート for existing repositories, you will see any results displayed on GitHub within minutes.

Enabling or disabling Dependabotアラート for new repositories

1. 任意のページの右上で、プロフィール画像をクリックし、続いてSettings（設定）をクリックしてください。

   

2. In the "Security" section of the sidebar, click Code security and analysis.

3. Under "Code security and analysis", to the right of Dependabotアラート, enable or disable Dependabotアラート by default for new repositories that you create.

Managing Dependabotアラート for your repository

You can manage Dependabotアラート for your public, private or internal repository.

By default, we notify people with admin permissions in the affected repositories about new Dependabotアラート. GitHub never publicly discloses insecure dependencies for any repository. You can also make Dependabotアラート visible to additional people or teams working repositories that you own or have admin permissions for.

セキュリティと分析の機能を有効化すると、 GitHubはリポジトリ上で読み取りのみの分析を行います。 詳しい情報については、「GitHub によるデータ使用について」を参照してください。

Enabling or disabling Dependabotアラート for a repository

1. GitHub.comで、リポジトリのメインページにアクセスしてください。

2. リポジトリ名の下で Settings（設定）をクリックしてください。

3. In the "Security" section of the sidebar, click Code security and analysis.

4. Under "Code security and analysis", to the right of Dependabotアラート, click Enable to enable alerts or Disable to disable alerts.

Managing Dependabotアラート for your organization

You can enable or disable Dependabotアラート for all repositories owned by your organization. Your changes affect all repositories.

Enabling or disabling Dependabotアラート for all existing repositories

1. In the top right corner of GitHub.com, click your profile photo, then click Your organizations.

2. Organizationの隣のSettings（設定）をクリックしてください。

3. In the "Security" section of the sidebar, click Code security and analysis.

4. Under "Code security and analysis", to the right of Dependabotアラート, click Disable all or Enable all.

   

5. Optionally, enable Dependabotアラート by default for new repositories in your organization.

   

6. Click Disable Dependabotアラート or Enable Dependabotアラート to disable or enable Dependabotアラート for all the repositories in your organization.