ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

脆弱性のある依存関係の通知を設定する

Dependabotアラートに関する通知の受信方法を最適化します。

ここには以下の内容があります:

脆弱性のある依存関係の通知について

Dependabot がリポジトリ内にある脆弱性のある依存関係を検出すると、Dependabot アラートを生成し、リポジトリの [Security] タブに表示します。 GitHub は、影響を受けるリポジトリのメンテナに、通知設定に従って新しいアラートについて通知します。 Dependabot は、すべてのパブリックリポジトリでデフォルト設定で有効になっています。 Dependabot alerts の場合、デフォルト設定では、特定の脆弱性ごとにグループ化された Dependabot alerts をメールで受信します。

Organization のオーナーの場合は、ワンクリックで Organization 内のすべてのリポジトリの Dependabot alerts を有効または無効にできます。 新しく作成されたリポジトリに対して、脆弱性のある依存関係の検出を有効にするか無効にするかを設定することもできます。 詳しい情報については、「Organization のセキュリティおよび分析設定を管理する」を参照してください。

Dependabot alerts

各ページの上部に表示される [Manage notifications] ドロップダウン から、自分または Organization の通知設定を構成できます。 詳しい情報については、「通知を設定する」を参照してください。

Watchしているリポジトリ上のDependabot alertsに関する通知の配信方法と、通知が送信される頻度を選択できます。

デフォルトでは、通知を受け取ることになります:

  • メールについては、Dependabotがリポジトリで有効化された場合、新しいマニフェストファイルがリポジトリにコミットされた場合、重要度が重大もしくは高の新しい脆弱性が見つかった場合に送信されます(Email each time a vulnerability is found(脆弱性が見つかるたびにメールする)オプション)。
  • ユーザインターフェースについては、脆弱な依存関係があった場合に、リポジトリのファイルとコードビューに警告が表示されます(UI alerts(UIアラート)オプション)。
  • コマンドラインについては、脆弱な依存関係を伴うプッシュをリポジトリに対して行った場合、コールバックとして警告が表示されます(Command Line(コマンドライン)オプション)。
  • インボックスについては、Web通知として表示されます。 Web通知は、Dependabotがリポジトリで有効化された場合、新しいマニフェストファイルがリポジトリにコミットされた場合、重要度が重大もしくは高の新しい脆弱性が見つかった場合に送信されます(Webオプション)。
  • GitHub for mobileでは、Web通知として表示されます。 詳しい情報については「GitHub for mobileでのプッシュ通知の有効化」を参照してください。

ノート: メール及びWeb / GitHub for mobile通知は以下のようになります。

  • リポジトリごと Dependabotがリポジトリで有効化された場合、あるいは新しいマニフェストファイルがリポジトリにコミットされた場合。

  • Organizationごと 新しい脆弱性が見つかった場合。

通知を

Dependabot alertsについて受ける方法は、カスタマイズできます。 たとえば、Email a digest summary of vulnerabilities(脆弱性のダイジェストサマリーメール)及びWeekly security email digest(週間のセキュリティメールダイジェスト)オプションを使って、最大10件のリポジトリに関するアラートをまとめた週間のダイジェストメールを受信できます。

Dependabot alerts オプション

注釈: GitHub で通知をフィルタして、Dependabotアラートを表示できます。 詳しい情報については「インボックスからの通知の管理」を参照してください。

Email notifications for Dependabot alerts that affect one or more repositories include the X-GitHub-Severity header field. You can use the value of the X-GitHub-Severity header field to filter email notifications for Dependabot alerts. 詳しい情報については、「通知を設定する」を参照してください。

脆弱性のある依存関係の通知を減らす方法

Dependabot alertsの通知が多すぎる場合は、毎週のメールダイジェストを選択するか、Dependabot alertsを有効にしたまま通知をオフにすることをお勧めします。 その場合でも、リポジトリの [Security] タブでDependabot alertsを表示できます。詳細については、「リポジトリ内の脆弱な依存関係を表示・更新する」を参照してください。

参考リンク

Did this doc help you?

Privacy policy

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

OR, learn how to contribute.