Skip to main content

Dependabot アラートの構成

新しい脆弱な依存関係またはマルウェアがいずれかのリポジトリに見つかった場合に、Dependabot alertsが生成されるようにします。

脆弱な依存関係とマルウェアに関する Dependabot alertsについて

脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。 脆弱性の種類、重要度、攻撃の方法は様々です。

GitHub Advisory Database に新しいアドバイザリが追加されたとき、またはリポジトリの依存関係グラフが変更されたとき、Dependabot によってコードがスキャンされます。 脆弱な依存関係またはマルウェアが検出されると、Dependabot alertsが生成されます。 詳細については、「Dependabot alertsについて」を参照してください。

次の場合、Dependabot alerts を有効か無効にできます。

  • 個人アカウント
  • リポジトリ
  • 自分の組織

個人アカウントの Dependabot alerts の管理

個人アカウントが所有するすべてのリポジトリの Dependabot alerts を有効か無効にできます。

既存のリポジトリに対する Dependabot alerts の有効化または無効化

  1. 任意のページで、右上隅にあるプロファイルの画像をクリックし、次に[設定]をクリックします。

    ユーザバーの [Settings(設定)] アイコン

  2. In the "Security" section of the sidebar, click Code security and analysis.

  3. [Code security and analysis](コードのセキュリティと分析) で、Dependabot alerts の右側にある [すべて無効にする][すべて有効にする] をクリックします。 [すべて有効にする] または [すべて無効にする] ボタンが強調された [セキュリティと分析の構成] 機能のスクリーンショット

  4. 必要に応じて、作成する新しいリポジトリに対して Dependabot alerts を既定で有効にします。 [Enable by default for new private repositories](新しいプライベート リポジトリを既定で有効にする) チェックボックスが強調されている "Dependabot アラートを有効にする" スクリーンショット

  5. [Dependabot alertsを無効にする][Dependabot alertsを有効にする] をクリックすると、所有しているすべてのリポジトリに対して Dependabot alerts を無効か有効にすることができます。 [Enable Dependabot alerts](Dependabot アラートを有効にする) ボタンが強調された "Dependabot アラートを有効にする" スクリーンショット

既存のリポジトリに対して Dependabot alerts を有効にすると、数分以内に GitHub に結果が表示されるようになります。

新規リポジトリに対する Dependabot alerts の有効化または無効化

  1. 任意のページで、右上隅にあるプロファイルの画像をクリックし、次に[設定]をクリックします。

    ユーザバーの [Settings(設定)] アイコン

  2. In the "Security" section of the sidebar, click Code security and analysis.

  3. [Code security and analysis](コードのセキュリティと分析) で、Dependabot alerts の右側にある、作成する新規リポジトリに対する Dependabot alerts を既定で有効か無効に設定できます。 [Enable for all new private repositories](すべての新しいプライベート リポジトリに対して有効にする) チェックが強調された [Configure security and analysis](セキュリティと分析の構成) のスクリーンショット

リポジトリの Dependabot alerts の管理

パブリック、プライベート、または内部リポジトリの Dependabot alerts を管理できます。

デフォルトでは、新しいDependabot alertsに関して影響を受けるリポジトリに管理権限を持っている人に通知を行います。 GitHub は、どのようなリポジトリについても、安全でない依存関係を公表することはありません。 Dependabot alerts を、自分が所有または管理者権限を持っているリポジトリで作業している追加のユーザや Team に表示することもできます。

セキュリティ機能と分析機能を有効にした場合、GitHub はリポジトリで読み取り専用分析を実行します。 詳細については、「GitHub によるデータの使用について」を参照してください。

リポジトリに対する Dependabot alerts の有効化および無効化

  1. On GitHub.com, navigate to the main page of the repository. 1. リポジトリ名の下の [ 設定] をクリックします。 リポジトリの設定ボタン

  2. In the "Security" section of the sidebar, click Code security and analysis.

  3. [コードのセキュリティと分析] で、Dependabot alertsの右側にある [有効にする] をクリックしてアラートを有効にするか、 [無効にする] をクリックしてアラートを無効にします。 [コードのセキュリティと分析] セクションと、Dependabot security updatesを有効にするボタンのスクリーンショット

組織の Dependabot alerts の管理

組織が所有するすべてのリポジトリに対して Dependabot alerts を有効か無効にできます。 変更はすべてのリポジトリに影響します。

既存のすべてのリポジトリに対する Dependabot alerts の有効化または無効化

  1. GitHub.com の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。 プロファイル メニューの組織 2. 組織の隣の [設定] をクリックします。 [設定] ボタン

  2. In the "Security" section of the sidebar, click Code security and analysis.

  3. [Code security and analysis](コードのセキュリティと分析) で、Dependabot alerts の右側にある [すべて無効にする][すべて有効にする] をクリックします。 Dependabot アラートで [すべて有効にする] または [すべて無効にする] ボタンが強調された [セキュリティと分析の構成] 機能のスクリーンショット

  4. 必要に応じて、組織内の新しいリポジトリに対して Dependabot alerts を既定で有効にします。 新しいリポジトリの [既定で有効にする] オプションのスクリーンショット

  5. [Dependabot alertsを無効にする][Dependabot alertsを有効にする] をクリックすると、組織内のすべてのリポジトリに対して Dependabot alerts を無効か有効にすることができます。 無効または有効にする機能のボタンが強調された [Enable Dependabot alerts](Dependabot アラートを有効にする) モーダルのスクリーンショット