Dependabot alerts の通知について
リポジトリ内で Dependabot によって脆弱な依存関係やマルウェアが検出されると、Dependabot アラートが生成され、そのリポジトリの [セキュリティ] タブに表示されます。 GitHub では、影響を受けるリポジトリのメンテナーに、その通知設定に従って新しいアラートを通知します。 Dependabot は、すべてのパブリック リポジトリで既定で有効で、プライベート リポジトリでは有効にする必要があります。 既定では、メールで Dependabot alerts が通知されます。 既定の全体の動作をオーバーライドするには、受信する通知の種類を選ぶか、https://github.com/settings/notifications のユーザー通知の設定ページで通知を完全にオフにします。
Organization のオーナーの場合は、ワンクリックで Organization 内のすべてのリポジトリに対して Dependabot alerts を有効または無効にできます。 また、新しく作成されたリポジトリに対して Dependabot alerts を有効にするか無効にするかを設定することもできます。 詳しくは、「Organization のセキュリティおよび分析設定を管理する」を参照してください。
Dependabot alertsの通知設定
新しい Dependabot のアラートが検出されると、GitHub によって、通知の設定に従って、リポジトリについて Dependabot alerts にアクセスできるすべてのユーザーに通知されます。 あなたがリポジトリを監視しており、セキュリティ アラートまたはリポジトリ上のすべてのアクティビティの通知を有効にしていて、リポジトリを無視していない場合は、アラートが通知されます。 詳しくは、「通知を設定する」を参照してください。
各ページの上部に表示される [Manage notifications] ドロップダウン から、自分または Organization の通知設定を構成できます。 詳しくは、「通知を設定する」を参照してください。
通知の配信方法と、通知が送信される頻度を選択できます。 既定では、次のようにして通知を受け取ります。
-
インボックス (Web 通知として)。 Web 通知は、Dependabot がリポジトリで有効にされていて、新しいマニフェスト ファイルがリポジトリにコミットされたときに、重要度が重大または高の新しい脆弱性が見つかった場合に送信されます ( [GitHub 上] オプション)。
-
メール。Dependabot がリポジトリで有効にされていて、新しいマニフェスト ファイルがリポジトリにコミットされたときに、重要度が重大または高の新しい脆弱性が見つかると、メールが送信されます ( [Email] オプション)。
-
コマンド ライン。セキュリティで保護されていない依存関係を使用してリポジトリにプッシュすると、警告がコールバックとして表示されます ( [CLI] オプション)。
-
GitHub Mobileでは、Web通知として表示されます。 詳しくは、「通知を設定する」をご覧ください。
注: メールと Web/GitHub Mobile の通知は次のとおりです。
-
Dependabot がリポジトリで有効にされているとき、または新しいマニフェスト ファイルがリポジトリにコミットされたときは、リポジトリごと。
-
新しい脆弱性が検出されたときは、Organization ごと。
Dependabot alertsに関する通知を受け取る方法をカスタマイズできます。 たとえば、 [週単位のメール ダイジェスト] オプションを使用すると、最大 10 個のリポジトリについてアラートを要約した週単位のダイジェスト メールを受け取ることができます。
注: GitHub で通知をフィルター処理して、Dependabot alerts を表示できます。 詳しくは、「インボックスからの通知を管理する」を参照してください。
1 つ以上のリポジトリに影響する Dependabot alerts のメール通知には、X-GitHub-Severity
ヘッダー フィールドが含まれます。 X-GitHub-Severity
ヘッダー フィールドの値を使用して、Dependabot alerts のメール通知をフィルター処理できます。 詳しくは、「通知を設定する」をご覧ください。
Dependabot alerts の通知によるノイズを軽減する方法
Dependabot alertsの通知をあまりに多く受け取ることが心配なら、週次のメールダイジェストにオプトインするか、Dependabot alertsを有効化したままで通知をオフにすることをおすすめします。 Dependabot alerts は、リポジトリの [セキュリティ] タブで引き続き確認できます。詳しくは、「Dependabot アラートの表示と更新」をご覧ください。