ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

Dependabot のセキュリティアップデート

Dependabot は、セキュリティアップデートプログラムを使用してプルリクエストを発行することにより、脆弱性のある依存関係を修正できます。

ここには以下の内容があります:

Dependabot security updates について

Dependabot security updates で、リポジトリ内の脆弱性のある依存関係を簡単に修正できます。 この機能を有効にすると、リポジトリの依存関係グラフで脆弱性のある依存関係に対して Dependabot アラートが発生すると、Dependabot は自動的にそれを修正しようとします。 詳しい情報については、「脆弱性のある依存関係に対するアラートについて」 および「Dependabot security updates を設定する」を参照してください。

GitHub may send Dependabot alerts to repositories affected by a vulnerability disclosed by a recently published GitHub security advisory. 詳しい情報については、「GitHub Security Advisories について」を参照してください。

Dependabot は、リポジトリの依存関係グラフを中断することなく、脆弱性のある依存関係を修正バージョンにアップグレードできるかどうかを確認します。 次に、 Dependabot はプルリクエストを発生させて、パッチを含む最小バージョンに依存関係を更新し、プルリクエストを Dependabot アラートにリンクするか、アラートのエラーを報告します。 詳しい情報については、「Dependabot エラーのトラブルシューティング」を参照してください。

注釈

Dependabot security updates 機能は、依存関係グラフと Dependabot alerts を有効にしているリポジトリで使用できます。 完全な依存関係グラフで識別されたすべての脆弱性のある依存関係について、Dependabot アラートが表示されます。 ただし、セキュリティアップデートプログラムは、マニフェストファイルまたはロックファイルで指定されている依存関係に対してのみトリガーされます。 Dependabot は、明示的に定義されていない間接的または推移的な依存関係を更新できません。 詳しい情報については、「依存関係グラフについて」を参照してください。

関連する機能 Dependabot version updates を有効にして、Dependabot が古い依存関係を検出するたびに、マニフェストを最新バージョンの依存関係に更新するプルリクエストを生成させることができます。 詳しい情報については、「Dependabot バージョン更新について」を参照してください。

DependabotがPull Requestを起こす場合、それらのPull Requestはセキュリティもしくはバージョンアップデートです。

  • Dependabot security updatesは、既知の脆弱性についての依存関係の更新を支援する自動化されたPull Requestです。
  • Dependabot version updatesは、依存関係が脆弱性を持たない場合でも更新されているようにする、自動化されたPull Requestです。 バージョンアップデートの状態をチェックするには、リポジトリのInsights(インサイト)タブ、続いてDependency Graph(依存関係グラフ)、そしてDependabotにアクセスしてください。

セキュリティアップデートのプルリクエストについて

各プルリクエストには、提案された修正を迅速かつ安全に確認してプロジェクトにマージするために必要なすべてのものが含まれています。 これには、リリースノート、変更ログエントリ、コミットの詳細などの脆弱性に関する情報が含まれます。 プルリクエストが解決する脆弱性の詳細は、リポジトリの Dependabot alerts にアクセスできないユーザには表示されません。

セキュリティアップデートを含むプルリクエストをマージすると、対応する Dependabot アラートがリポジトリに対して解決済みとしてマークされます。 Dependabot プルリクエストの詳細については、「依存関係の更新に関するプルリクエストを管理する」を参照してください。

ノート: 自動テキストと受け入れプロセスを持っておき、Pull Requestがマージされる前にチェックが行われるようにしておくのは良い習慣です。 これは特に、アップグレードが提案されたバージョンに追加機能があったり、プロジェクトのコードを破壊するような変更がある場合に重要です。 継続的インテグレーションに関する詳しい情報については「継続的インテグレーション」を参照してください。

互換性スコアについて

Dependabot security updates には、互換性スコアが含まれている場合があります。これは、脆弱性を更新することでプロジェクトに重大な変更が発生する可能性があるかどうかを知らせるものです。 これらは、同じセキュリティアップデートプログラムが生成された他のパブリックリポジトリでの CI テストから計算されます。 更新の互換性スコアは、依存関係の特定のバージョンの更新前後で、実行した CI がパスした割合です。

Dependabot セキュリティアップデートの通知について

GitHub で通知をフィルタして、Dependabot セキュリティアップデートを表示できます。 詳しい情報については「インボックスからの通知の管理」を参照してください。

Did this doc help you?

Privacy policy

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

OR, learn how to contribute.