自動トリアージ ルールをカスタマイズして Dependabot アラートの優先度を設定する

独自の 自動トリアージ ルール を作成して、どのアラートを無視またはスヌーズするか、および Dependabot で pull request を開くアラートを制御できます。

この機能を使用できるユーザーについて

People with write permissions can view Dependabot 自動トリアージ ルール for the repository. People with admin permissions to a repository can enable or disable 自動トリアージ ルール for the repository, as well as create カスタム自動トリアージ ルール. Additionally, organization owners and security managers can set 自動トリアージ ルール at the organization-level and optionally choose to enforce rules for repositories in the organization.

Custom auto-triage rules for Dependabot alerts are available (for free) on public repositories.

この記事の内容

注: Dependabot は現在ベータ版であり、変更される可能性があります。

カスタム自動トリアージ ルール について

アラート メタデータに基づいて、独自の Dependabot 自動トリアージ ルール のアラート ルールを作成できます。 アラートを無期限に自動無視するか、パッチが使用可能になるまでアラートをスヌーズするかを選択できます。また、Dependabot で pull request を開くアラートを指定できます。

作成したルールは将来のアラートと現在のアラートの両方に適用されるため、自動トリアージ ルール を使用して Dependabot alerts を一括で管理することもできます。

リポジトリ管理者は、パブリック リポジトリの カスタム自動トリアージ ルール を作成できます。

Organization オーナーとセキュリティ マネージャーは、Organization レベルで カスタム自動トリアージ ルール を設定し、Organization 内のすべてのパブリック リポジトリでルールを適用したり有効にしたりするかどうかを選択できます。

  • 適用: Organization レベルのルールが "適用" されると、リポジトリ管理者はルールを編集、無効化、または削除できません。
  • 有効: Organization レベルのルールが "有効" の場合、リポジトリ管理者はリポジトリのルールを無効にできます。

注: Organization レベルのルールとリポジトリ レベルのルールが競合する動作を指定した場合、Organization レベルのルールによって設定されたアクションが優先されます。 無視ルールは常に、Dependabot の pull request をトリガーするルールの前に動作します。

次のメタデータを使用して、アラートを対象とするルールを作成できます。

  • CVE ID
  • CWE
  • 依存関係スコープ (devDependency または runtime)
  • エコシステム
  • GHSA ID
  • マニフェスト パス (リポジトリ レベルのルールのみ)
  • パッケージ名
  • パッチの可用性
  • 重要度

カスタム自動トリアージ ルール と Dependabot security updates の対話方法について

カスタム自動トリアージ ルール を使用して、Dependabot で pull request を開くアラートを調整できます。 ただし、"pull request を開く" ルールを有効にするには、ルールを適用する単一または複数のリポジトリに対して Dependabot security updates が無効になっていることを確認する必要があります。

リポジトリに対して Dependabot security updates が有効になっている場合、Dependabot は、使用可能なパッチを持つすべての開いている Dependabot アラートを解決するために pull request を自動的に開こうとします。 ルールを使用してこの動作をカスタマイズする場合は、Dependabot security updates を無効のままにする必要があります。

リポジトリの Dependabot security updates の有効化または無効化の詳細については、「Configuring Dependabot security updates (Dependabot セキュリティ アップデートの構成)」を参照してください。

カスタム自動トリアージ ルール をリポジトリに追加する

注: パブリック ベータ期間中は、リポジトリに対して最大 10 個の カスタム自動トリアージ ルール を作成できます。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。1. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。
    1. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。1. 「Dependabot alerts」で、「Dependabot rules」ルール付近の をクリックします。1. [新しいルール] をクリックします。1. 「ルール名前」の下で、このルールの実行内容を説明します。

  2. [状態] で、ドロップダウン メニューを使用して、リポジトリに対してルールを有効または無効にするかどうかを選択します。

  3. 「ターゲット アラート」で、アラートのフィルター処理に使用するメタデータを選択します。

  4. [ルール] で、メタデータに一致するアラートに対して実行するアクションを選択します。

    • メタデータに一致するアラートを自動的に無視するには、[アラートの無視] を選択します。 アラートを無期限に自動無視するか、パッチが利用可能になるまでスヌーズすることができます。
    • Dependabot で、対象となるメタデータに一致するアラートを解決するための変更を提案する場合は、[pull requestを開く] を選択してこのアラートを解決します。 このオプションは、アラートを無期限に無視するオプションを既に選択している場合、またはリポジトリ設定で Dependabot security updates が有効になっている場合は使用できないことに注意してください。

  5. [ルールの作成] をクリックします。

カスタム自動トリアージ ルール を Organization に追加する

注: パブリック ベータ期間中は、Organization に対して最大 25 個の カスタム自動トリアージ ルール を作成できます。

  1. GitHub.com の右上隅にあるプロファイル写真を選択し、次に自分の組織をクリックします。

    @octocat のプロファイル写真の下にあるドロップダウン メニューのスクリーンショット。 [Your organizations] (自分の組織) が濃いオレンジ色の枠線で囲まれています。

  2. 組織の隣の [設定] をクリックします。

  3. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

Note

Organization が security configurations と global settings パブリック ベータに登録されている場合は、[コード のセキュリティと分析] ではなく、[コード セキュリティ] ドロップダウン メニューが表示されます。 [コード セキュリティ] を選択し、[Global settings] をクリックします。global settings を使用して Dependabot 自動トリアージ ルール を Organization に追加する次の手順については、「組織のグローバル セキュリティ設定の構成」を参照してください。

  1. "Dependabot" 、"Dependabot alerts"の下で、"Dependabot ルール" の近くにある をクリックします。
  2. [新しいルール] をクリックします。
  3. 「ルール名前」の下で、このルールの実行内容を説明します。
  4. [状態] で、ドロップダウン メニューを使用して、ルールの適用方法を選択します。
    • リポジトリ管理者がリポジトリの設定ページでルールを編集、無効化、または削除できないようにするには、[適用] を選択します。
    • [有効] を選択すると、すべてのリポジトリに対してルールが既定で設定されますが、リポジトリ管理者はリポジトリの設定ページでそのルールを無効にすることもできます。
    • または、ルールを [無効] に設定することもできますが、リポジトリ レベルではオーバーライドできません。 無効になったルールは、すべてのリポジトリに対して非表示になります。
  5. 「ターゲット アラート」で、アラートのフィルター処理に使用するメタデータを選択します。
  6. [ルール] で、メタデータに一致するアラートに対して実行するアクションを選択します。
    • メタデータに一致するアラートを自動的に無視するには、[アラートの無視] を選択します。 アラートを無期限に自動無視するか、パッチが利用可能になるまでスヌーズすることができます。
    • Dependabot でメタデータに一致するアラートを解決するための変更を提案する場合は、[pull requestを開く] を選択してこのアラートを解決します。 アラートを無期限に無視するオプションを選択した場合、このオプションは使用できません。
  7. [ルールの作成] をクリックします。

リポジトリの カスタム自動トリアージ ルール の編集または削除

  1. GitHub.com で、リポジトリのメイン ページへ移動します。

  2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

  4. 「Dependabot alerts」で、「Dependabot rules」ルール付近の をクリックします。

  5. [Repository rules](ポジトリ ルール) で、編集または削除するルールの右側にある をクリックします。

  6. ルールを編集するには、該当するフィールドに変更を加え、[ルールの保存] をクリックします。

  7. ルールを削除するには、[Danger Zone] で [ルールの削除] をクリックします。

  8. [このルールを削除しますか?] ダイアログ ボックスで情報を確認し、[ルールの削除] をクリックします。

Organization の カスタム自動トリアージ ルール の編集または削除

  1. GitHub.com の右上隅にあるプロファイル写真を選択し、次に自分の組織をクリックします。

    @octocat のプロファイル写真の下にあるドロップダウン メニューのスクリーンショット。 [Your organizations] (自分の組織) が濃いオレンジ色の枠線で囲まれています。

  2. 組織の隣の [設定] をクリックします。

  3. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

Note

Organization が security configurations と global settings パブリック ベータに登録されている場合は、[コード のセキュリティと分析] ではなく、[コード セキュリティ] ドロップダウン メニューが表示されます。 [コード セキュリティ] を選択し、[Global settings] をクリックします。global settings を使用して Organization 内の Dependabot 自動トリアージ ルール を編集または削除する次の手順については、「組織のグローバル セキュリティ設定の構成」を参照してください。

  1. "Dependabot" 、"Dependabot alerts"の下で、"Dependabot ルール" の近くにある をクリックします。
  2. [Organization のルール] で、編集または削除するルールの右側にある をクリックします。
  3. ルールを編集するには、該当するフィールドに変更を加え、[ルールの保存] をクリックします。
  4. ルールを削除するには、[Danger Zone] で [ルールの削除] をクリックします。
  5. [このルールを削除しますか?] ダイアログ ボックスで情報を確認し、[ルールの削除] をクリックします。