ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

脆弱性のある依存関係の通知を設定する

Optimize how you receive notifications about Dependabot alerts.

ここには以下の内容があります:

脆弱性のある依存関係の通知について

When Dependabot detects vulnerable dependencies in your repositories, we generate a Dependabot alert and display it on the Security tab for the repository. GitHub notifies the maintainers of affected repositories about the new alert according to their notification preferences. Dependabot is enabled by default on all public repositories. Dependabotアラート の場合、デフォルト設定では、特定の脆弱性ごとにグループ化された Dependabotアラート をメールで受信します。

Organization のオーナーの場合は、ワンクリックで Organization 内のすべてのリポジトリの Dependabotアラート を有効または無効にできます。 新しく作成されたリポジトリに対して、脆弱性のある依存関係の検出を有効にするか無効にするかを設定することもできます。 詳しい情報については、「Organization のセキュリティおよび分析設定を管理する」を参照してください。

Configuring notifications for Dependabotアラート

各ページの上部に表示される [Manage notifications] ドロップダウン から、自分または Organization の通知設定を構成できます。 詳しい情報については、「通知を設定する」を参照してください。

Watchしているか、セキュリティアラートをサブスクライブしているリポジトリ上で Dependabotアラートに関する通知の配信方法と頻度を選択できます。

デフォルトでは、通知を受け取ることになります:

  • メールについては、Dependabotがリポジトリで有効化された場合、新しいマニフェストファイルがリポジトリにコミットされた場合、重要度が重大もしくは高の新しい脆弱性が見つかった場合に送信されます(Email each time a vulnerability is found(脆弱性が見つかるたびにメールする)オプション)。
  • ユーザインターフェースについては、脆弱な依存関係があった場合に、リポジトリのファイルとコードビューに警告が表示されます(UI alerts(UIアラート)オプション)。
  • コマンドラインについては、脆弱な依存関係を伴うプッシュをリポジトリに対して行った場合、コールバックとして警告が表示されます(Command Line(コマンドライン)オプション)。
  • インボックスについては、Web通知として表示されます。 Web通知は、Dependabotがリポジトリで有効化された場合、新しいマニフェストファイルがリポジトリにコミットされた場合、重要度が重大もしくは高の新しい脆弱性が見つかった場合に送信されます(Webオプション)。
  • GitHub for mobileでは、Web通知として表示されます。 詳しい情報については「GitHub for mobileでのプッシュ通知の有効化」を参照してください。

ノート: メール及びWeb / GitHub for mobile通知は以下のようになります。

  • リポジトリごと Dependabotがリポジトリで有効化された場合、あるいは新しいマニフェストファイルがリポジトリにコミットされた場合。

  • Organizationごと 新しい脆弱性が見つかった場合。

通知を

Dependabotアラートについて受ける方法は、カスタマイズできます。 たとえば、Email a digest summary of vulnerabilities(脆弱性のダイジェストサマリーメール)及びWeekly security email digest(週間のセキュリティメールダイジェスト)オプションを使って、最大10件のリポジトリに関するアラートをまとめた週間のダイジェストメールを受信できます。

Dependabotアラート オプション

Note: You can filter your notifications on GitHub to show Dependabot alerts. 詳しい情報については「インボックスからの通知の管理」を参照してください。

X-GitHub-Severityヘッダフィールドを含む、1つ以上のリポジトリに影響するDependabotアラートに対するメール通知。 X-GitHub-Severityヘッダフィールドは、Dependabotアラートに対するメール通知のフィルタリングに利用できます。 詳しい情報については、「通知を設定する」を参照してください。

脆弱性のある依存関係の通知を減らす方法

If you are concerned about receiving too many notifications for Dependabotアラート, we recommend you opt into the weekly email digest, or turn off notifications while keeping Dependabotアラート enabled. You can still navigate to see your Dependabotアラート in your repository's Security tab. 詳細については、「リポジトリ内の脆弱な依存関係を表示・更新する」を参照してください。

参考リンク

このドキュメントは役立ちましたか?

Privacy policy

これらのドキュメントを素晴らしいものにするのを手伝ってください!

GitHubのすべてのドキュメントはオープンソースです。間違っていたり、はっきりしないところがありましたか?Pull Requestをお送りください。

コントリビューションを行う

OR, コントリビューションの方法を学んでください。

問題がまだ解決していませんか?

GitHubコミュニティで質問する サポートへの連絡