Skip to main content

Dependabot クイックスタート ガイド

Dependabot を使うと、リポジトリで使っているソフトウェア依存関係に既知の脆弱性がある場合にアラートを生成できます。 このガイドは、リポジトリに対して Dependabot を有効にし、報告されるアラートの調査を始めるのに役立ちます。

この機能を使用できるユーザーについて

Dependabot alerts は、GitHub.com 上のすべてのリポジトリで、無料で使用できます。 Dependabot alerts の カスタム自動トリアージ ルール を作成する機能などの高度な機能は、パブリック リポジトリでのみ (無料で) 使用できます。

Dependabot について

このクイックスタート ガイドでは、Dependabot の設定と有効化、リポジトリに対する Dependabot alerts と更新プログラムの表示について説明します。

Dependabot は、依存関係の管理に役立つ 3 つの異なる機能で構成されています。

  • Dependabot alerts — リポジトリで使っている依存関係に内在する脆弱性について通知します。
  • Dependabot security updates — 使っている依存関係のうち、既知のセキュリティ脆弱性があるものを更新するための pull request を自動的に生成します。
  • Dependabot version updates — 依存関係を最新に保つための pull request を自動的に発行します。

前提条件

このガイドでは、デモ リポジトリを使って、依存関係の脆弱性が Dependabot によってどのように検出されるのか、GitHub のどこで Dependabot alerts を確認できるのか、また、これらのアラートを調査、修正、または無視する方法を説明します。

まず、デモ リポジトリをフォークする必要があります。

  1. https://github.com/dependabot/demo に移動します。
  2. ページの上部の右側にある [ フォーク] をクリックします。
  3. 所有者を選び (GitHub 個人用アカウントを選ぶことができます)、リポジトリ名を入力します。 リポジトリのフォークについて詳しくは、「リポジトリをフォークする」を参照してください。
  4. [フォークの作成] をクリックします。

リポジトリに対する Dependabot の有効化

前提条件」でフォークしたリポジトリで、以下の手順に従う必要があります。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。

  2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

  4. [コードのセキュリティと分析] の Dependabot alerts の右側にある Dependabot alerts、Dependabot security updates、Dependabot version updates の [有効化] をクリックします。

  5. 必要に応じて、Dependabot version updates を試したい場合は、 .github/dependabot.yml をクリックします。 リポジトリの /.github ディレクトリに既定の dependabot.yml 構成ファイルが作成されます。 リポジトリに対して Dependabot version updates を有効にするには、通常、既定のファイルを編集し、変更をコミットすることで、ニーズに合わせてこのファイルを構成します。 例として、「Dependabot のバージョン アップデートの設定」で提供されているスニペットを参照できます。

メモ: 依存関係グラフがリポジトリに対してまだ有効になっていない場合は、Dependabot を有効にすると、GitHub によって自動的に有効になります。

これらの各 Dependabot 機能の構成について詳しくは、「Dependabot アラートの構成」、「Configuring Dependabot security updates (Dependabot セキュリティ アップデートの構成)」、「Dependabot のバージョン アップデートの設定」を参照してください。

リポジトリの Dependabot alerts の表示

リポジトリに対して Dependabot alerts が有効になっている場合は、リポジトリの [セキュリティ] タブで Dependabot alerts を表示できます。 前のセクションでフォークして Dependabot alerts を有効にしたリポジトリを使うことができます。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。

  2. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。 タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。

  3. セキュリティの概要の [脆弱性アラート] サイド バーで、 [Dependabot] をクリックします。 このオプションがない場合は、セキュリティ アラートにアクセスできないため、アクセス権を付与する必要があることを意味します。 詳細については、「リポジトリのセキュリティと分析設定を管理する」を参照してください。

    セキュリティの概要のスクリーンショット。[Dependabot] タブが濃いオレンジ色の枠線で強調表示されています。

  4. [Dependabot alerts] ページで未解決のアラートを確認します。 既定では、このページに、未解決のアラートが一覧表示される [未解決] タブが表示されます ( [解決済み] をクリックすると、解決済みのアラートを表示できます)。

    デモ リポジトリの Dependabot アラートのリストを示すスクリーンショット。

    さまざまなフィルターまたはラベルを使って、リスト内の Dependabot alerts をフィルター処理できます。 詳細については、「Dependabot アラートの表示と更新」を参照してください。Dependabot 自動トリアージ ルール を使用して、誤検知アラートや関心のないアラートを除外することもできます。 詳しくは、「Dependabot 自動トリアージ ルールについて」をご覧ください。

  5. javascript/package-lock.json ファイルで [Command Injection in lodash] アラートをクリックします。 アラートの詳細ページに、次の情報が表示されます (情報によっては、すべてのアラートに適用されない場合があることに注意してください)。

    • Dependabot によって、脆弱性を修正する pull request が作成されたかどうか。 [セキュリティ更新プログラムの確認] をクリックして、推奨されるセキュリティ更新プログラムを確認できます。
    • 関連するパッケージ
    • 影響を受けるバージョン
    • 修正プログラムが適用されたバージョン
    • 脆弱性の簡単な説明

    デモ リポジトリのアラートの詳細ページに主な情報が表示されているスクリーンショット。

  6. 必要に応じて、ページの右側にある情報を調べることもできます。 スクリーンショットに示されている情報の一部は、すべてのアラートに適用されない場合があります。

    • 重大度
    • CVSS メトリック — CVSS レベルを使って重大度レベルを割り当てます。 詳しくは、「GitHub Advisory Database について」を参照してください。
    • タグ
    • 脆弱性 — 脆弱性に関連する CWE のリスト (該当する場合)
    • CVE ID — 脆弱性の一意の CVE 識別子 (該当する場合)
    • GHSA ID — GitHub Advisory Database 上の対応するアドバイザリの一意識別子。 詳しくは、「GitHub Advisory Database について」を参照してください。
    • GitHub Advisory Database 上のアドバイザリに移動するオプション
    • この脆弱性の影響を受けるすべてのリポジトリを表示するオプション
    • GitHub Advisory Database 上のこのアドバイザリの改善を提案するオプション

    デモ リポジトリのアラートの詳細ページで、ページの右側に情報が表示されているスクリーンショット。

Dependabot alerts の表示、優先順位付け、並べ替えについて詳しくは、「Dependabot アラートの表示と更新」を参照してください。

Dependabot アラートの修正または無視

GitHub で Dependabot alerts を修正または無視できます。 引き続き、例としてフォークしたリポジトリと前のセクションで説明した "Command Injection in lodash" アラートを使いましょう。

  1. リポジトリの [Dependabot alerts] タブに移動します。 詳しくは、前述の「リポジトリの Dependabot alerts の表示」セクションを参照してください。
  2. アラートをクリックします。
  3. javascript/package-lock.json ファイルで [Command Injection in lodash] アラートをクリックします。
  4. アラートを確認します。 次のようにすることができます。
    • 推奨されるセキュリティ更新プログラムを確認するには、 [セキュリティ更新プログラムの確認] をクリックします。 Dependabot によって生成されたセキュリティ修正プログラムの pull request が開きます。

      選んだアラートによって強調表示されたセキュリティの脆弱性を修正するために、Dependabot によって生成された pull request のスクリーンショット。

      • pull request の説明で、 [コミット] をクリックして、pull request に含まれるコミットを調べることができます。
      • また、 [Dependabot のコマンドとオプション] をクリックして、pull request の操作に使うことができるコマンドについて確認できます。
      • 依存関係を更新して脆弱性を解決する準備ができたら、プルリクエストをマージしてください。
    • アラートを無視する場合

      • アラートの詳細ページに戻ります。

      • 右上隅にある [アラートを無視] をクリックします。

        アラートの詳細ページに [アラートを無視] ボタンとドロップダウン メニュー オプションが表示され、[無視のコメント] ボックスが濃いオレンジ色のアウトラインで強調表示されているスクリーンショット。

      • アラートを無視する理由を選びます。

      • 必要に応じて、無視のコメントを追加します。 無視のコメントがアラート タイムラインに追加され、監査および報告時に正当な理由として使うことができます。

      • [アラートを無視] をクリックします。 このアラートは、アラート リストの [未解決] タブに表示されなくなり、 [解決済み] タブで確認できます。

Dependabot alerts の確認と更新について詳しくは、「Dependabot アラートの表示と更新」を参照してください。

トラブルシューティング

次の場合、トラブルシューティングが必要になることがあります。

  • Dependabot によって、アラートを修正するための pull request の作成がブロックされている、または
  • Dependabot から報告される情報が、期待する内容でない。

詳しくは、「Dependabot エラーのトラブルシューティング」と「脆弱性のある依存関係の検出のトラブルシューティング」を参照してください。

次の手順

Dependabot 更新の構成について詳しくは、「Configuring Dependabot security updates (Dependabot セキュリティ アップデートの構成)」と「Dependabot のバージョン アップデートの設定」を参照してください。

組織の Dependabot の構成について詳しくは、「Dependabot アラートの構成」を参照してください。

Dependabot によって開かれた pull request の表示について詳しくは、「依存関係の更新に関するPull Requestを管理する」を参照してください。

Dependabot alertsに役立つセキュリティ アドバイザリについて詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」を参照してください。

Dependabot alerts に関する通知の構成について詳しくは、「Dependabot アラートの通知を構成する」を参照してください。