Dependabot アラートの構成

脆弱な依存関係とマルウェアに関する Dependabot alertsについて

脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。脆弱性の種類、重要度、攻撃の方法は様々です。

GitHub Advisory Database に新しいアドバイザリが追加されたとき、またはリポジトリの依存関係グラフが変更されたとき、Dependabot によってコードがスキャンされます。脆弱な依存関係またはマルウェアが検出されると、Dependabot alertsが生成されます。詳細については、「Dependabot alertsについて」を参照してください。

次の場合、Dependabot alerts を有効か無効にできます。

個人アカウント
リポジトリ
自分の組織

個人アカウントの Dependabot alerts の管理

個人アカウントが所有するすべてのリポジトリの Dependabot alerts を有効か無効にできます。

既存のリポジトリに対する Dependabot alerts の有効化または無効化

任意のページで、右上隅にあるプロファイルの画像をクリックし、次に[設定]をクリックします。
In the "Security" section of the sidebar, click Code security and analysis.
[Code security and analysis](コードのセキュリティと分析) で、Dependabot alerts の右側にある [すべて無効にする] か [すべて有効にする] をクリックします。
必要に応じて、作成する新しいリポジトリに対して Dependabot alerts を既定で有効にします。
[Dependabot alertsを無効にする] か [Dependabot alertsを有効にする] をクリックすると、所有しているすべてのリポジトリに対して Dependabot alerts を無効か有効にすることができます。

既存のリポジトリに対して Dependabot alerts を有効にすると、数分以内に GitHub に結果が表示されるようになります。

新規リポジトリに対する Dependabot alerts の有効化または無効化

任意のページで、右上隅にあるプロファイルの画像をクリックし、次に[設定]をクリックします。
In the "Security" section of the sidebar, click Code security and analysis.
[Code security and analysis](コードのセキュリティと分析) で、Dependabot alerts の右側にある、作成する新規リポジトリに対する Dependabot alerts を既定で有効か無効に設定できます。

リポジトリの Dependabot alerts の管理

パブリック、プライベート、または内部リポジトリの Dependabot alerts を管理できます。

デフォルトでは、新しいDependabot alertsに関して影響を受けるリポジトリに管理権限を持っている人に通知を行います。 GitHub は、どのようなリポジトリについても、安全でない依存関係を公表することはありません。 Dependabot alerts を、自分が所有または管理者権限を持っているリポジトリで作業している追加のユーザや Team に表示することもできます。

セキュリティ機能と分析機能を有効にした場合、GitHub はリポジトリで読み取り専用分析を実行します。詳細については、「GitHub によるデータの使用について」を参照してください。

リポジトリに対する Dependabot alerts の有効化および無効化

On GitHub.com, navigate to the main page of the repository. 1. リポジトリ名の下の [ 設定] をクリックします。
In the "Security" section of the sidebar, click Code security and analysis.
[コードのセキュリティと分析] で、Dependabot alertsの右側にある [有効にする] をクリックしてアラートを有効にするか、 [無効にする] をクリックしてアラートを無効にします。

組織の Dependabot alerts の管理

組織が所有するすべてのリポジトリに対して Dependabot alerts を有効か無効にできます。変更はすべてのリポジトリに影響します。

既存のすべてのリポジトリに対する Dependabot alerts の有効化または無効化

GitHub.com の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。 2. 組織の隣の [設定] をクリックします。
In the "Security" section of the sidebar, click Code security and analysis.
[Code security and analysis](コードのセキュリティと分析) で、Dependabot alerts の右側にある [すべて無効にする] か [すべて有効にする] をクリックします。
必要に応じて、組織内の新しいリポジトリに対して Dependabot alerts を既定で有効にします。
[Dependabot alertsを無効にする] か [Dependabot alertsを有効にする] をクリックすると、組織内のすべてのリポジトリに対して Dependabot alerts を無効か有効にすることができます。