脆弱な依存関係とマルウェアに関する Dependabot alertsについて
脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。 脆弱性の種類、重要度、攻撃の方法は様々です。
GitHub Advisory Database に新しいアドバイザリが追加されたとき、またはリポジトリの依存関係グラフが変更されたとき、Dependabot によってコードがスキャンされます。 脆弱な依存関係またはマルウェアが検出されると、Dependabot alertsが生成されます。 詳しくは、「Dependabot アラートについて」を参照してください。
次の場合、Dependabot alerts を有効か無効にできます。
- 個人アカウント
- リポジトリ
- 組織
個人アカウントの Dependabot alerts の管理
個人アカウントが所有するすべてのリポジトリの Dependabot alerts を有効か無効にできます。
既存のリポジトリに対する Dependabot alerts の有効化または無効化
-
任意のページで、右上隅にあるプロファイルの画像をクリックし、次に[設定]をクリックします。
![GitHub のアカウント メニューのスクリーンショット。ユーザーがプロファイル、コンテンツ、設定を表示および編集するためのオプションが表示されています。 メニュー項目 [設定] が濃いオレンジ色の枠線で囲まれています。](/assets/cb-65929/images/help/settings/userbar-account-settings.png)
-
サイドバーの [セキュリティ] セクションで、 [コード セキュリティと分析] をクリックします。
-
Code security and analysis で、Dependabot alerts の右側にある [すべて無効にする] か [すべて有効にする] をクリックします。
-
必要に応じて、作成した新しいリポジトリで Dependabot alerts を既定で有効にするには、ダイアログ ボックスで [新しいリポジトリに対して既定で有効にする] を選びます。
-
[Dependabot alertsを無効にする] か [Dependabot alertsを有効にする] をクリックすると、所有しているすべてのリポジトリに対して Dependabot alerts を無効か有効にすることができます。
![GitHub のアカウント メニューのスクリーンショット。ユーザーがプロファイル、コンテンツ、設定を表示および編集するためのオプションが表示されています。 メニュー項目 [設定] が濃いオレンジ色の枠線で囲まれています。](/assets/cb-65929/mw-1440/images/help/settings/userbar-account-settings.webp)
既存のリポジトリに対して Dependabot alerts を有効にすると、数分以内に GitHub に結果が表示されるようになります。
新規リポジトリに対する Dependabot alerts の有効化または無効化
-
任意のページで、右上隅にあるプロファイルの画像をクリックし、次に[設定]をクリックします。
-
サイドバーの [セキュリティ] セクションで、 [コード セキュリティと分析] をクリックします。
-
[コード セキュリティと分析] の Dependabot alerts の右側にある [新しいリポジトリに対して自動的に有効にする] を選びます。
リポジトリの Dependabot alerts の管理
パブリック、プライベート、または内部リポジトリの Dependabot alerts を管理できます。
既定では、新しいDependabot alertsに関して影響を受けるリポジトリに書き込み、保守、または管理アクセス権を持つ人に通知されます。 GitHub は、どのようなリポジトリについても、安全でない依存関係を公表することはありません。 Dependabot alerts を、自分が所有または管理者権限を持っているリポジトリで作業している追加のユーザーやチームに表示することもできます。
セキュリティ機能と分析機能を有効にした場合、GitHub はリポジトリで読み取り専用分析を実行します。 詳しくは、「GitHubによるユーザのデータの利用について」を参照してください。
リポジトリに対する Dependabot alerts の有効化および無効化
-
GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-28266/images/help/repository/repo-actions-settings.png)
-
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
-
[コードのセキュリティと分析] で、Dependabot alertsの右側にある [有効にする] をクリックしてアラートを有効にするか、 [無効にする] をクリックしてアラートを無効にします。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-28266/mw-1440/images/help/repository/repo-actions-settings.webp)
組織の Dependabot alerts の管理
組織が所有するすべてのリポジトリに対して Dependabot alerts を有効か無効にできます。 変更はすべてのリポジトリに影響します。
既存のすべてのリポジトリに対する Dependabot alerts の有効化または無効化
[コードのセキュリティと分析] の Organization 設定ページを使って、Organization 内のすべての既存のリポジトリに対して code scanning を有効にできます。
-
GitHub.com の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。
![@octocat のプロファイル写真の下にあるドロップダウン メニューのスクリーンショット。 [Your organizations] (自分の組織) が濃いオレンジ色の枠線で囲まれています。](/assets/cb-24939/images/help/profile/your-organizations.png)
![[設定] ボタンが濃いオレンジ色の枠線で強調表示されている "octo-org" 組織のスクリーンショット。](/assets/cb-5718/images/help/organizations/settings-button.png)
-
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
-
Code security and analysis で、Dependabot alerts の右側にある [すべて無効にする] か [すべて有効にする] をクリックします。
-
必要に応じて、組織の新しいリポジトリで Dependabot alerts を既定で有効にするには、ダイアログ ボックスで [新しいリポジトリに対して既定で有効にする] を選びます。
-
[Dependabot alertsを無効にする] か [Dependabot alertsを有効にする] をクリックすると、組織内のすべてのリポジトリに対して Dependabot alerts を無効か有効にすることができます。
![@octocat のプロファイル写真の下にあるドロップダウン メニューのスクリーンショット。 [Your organizations] (自分の組織) が濃いオレンジ色の枠線で囲まれています。](/assets/cb-24939/mw-1440/images/help/profile/your-organizations.webp)
![[設定] ボタンが濃いオレンジ色の枠線で強調表示されている "octo-org" 組織のスクリーンショット。](/assets/cb-5718/mw-1440/images/help/organizations/settings-button.webp)