脆弱性のある依存関係に関するアラートについて

リポジトリに影響を与える脆弱性を検出すると、GitHub は Dependabotアラート を送信します。

脆弱性のある依存関係について

脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。 脆弱性の種類、重要度、攻撃の方法は様々です。

セキュリティ上の脆弱性があるパッケージにコードが依存している場合、この脆弱性のある依存関係により、プロジェクトまたはそれを使用するユーザにさまざまな問題が発生する可能性があります。

脆弱性のある依存関係の検出

Dependabotは、脆弱な依存関係を検出し、以下の場合にDependabotアラートを送信します。

加えて、 GitHubは、リポジトリのデフォルトブランチに対して作成されたPull Request中で追加、更新、削除された依存関係のレビューを行うことができ、プロジェクトに脆弱性をもたらすような変更にフラグを立てることができます。 これによって、脆弱な依存関係がコードベースに達したあとではなく、達する前に特定して対処できるようになります。 詳しい情報については「Pull Request中の依存関係の変更のレビュー」を参照してください。

GitHub が脆弱性と依存関係を検出できるエコシステムのリストについては、「サポートされているパッケージエコシステム」を参照してください。

注釈: マニフェストとロックファイルを最新の状態に保つことが重要です。 依存関係グラフが現在の依存関係とバージョンを正確に反映していない場合、使用する脆弱性のある依存関係のアラートを見逃す可能性があります。 また、使用しなくなった依存関係のアラートを受け取る場合もあります。

脆弱性のある依存関係の Dependabot アラート

GitHub は、パブリックリポジトリ内の脆弱性のある依存関係を検出し、デフォルト設定で Dependabotアラート を生成します。 プライベートリポジトリの所有者、または管理アクセス権を持つユーザは、リポジトリの依存関係グラフと Dependabotアラート を有効にすることで、Dependabotアラート を有効化できます。

ユーザアカウントまたは Organization が所有するすべてのリポジトリの Dependabotアラート を有効または無効にすることもできます。 詳しい情報については、「ユーザーアカウントのセキュリティおよび分析設定を管理する」または「Organization のセキュリティおよび分析設定を管理する」を参照してください。

Dependabotアラート に関連するアクションの権限要件については、「Organization のリポジトリ権限レベル」を参照してください。

GitHub は依存関係グラフの生成をすぐに開始し、脆弱性のある依存関係が特定されるとすぐにアラートを生成します。 グラフは通常数分以内に入力されますが、多くの依存関係を持つリポジトリの場合は時間がかかる場合があります。 詳しい情報については、「プライベートリポジトリのデータ使用を管理する」を参照してください。

GitHub が脆弱性のある依存関係を特定すると、Dependabot アラートを生成し、リポジトリのセキュリティタブに表示します。 アラートには、プロジェクト内で影響を受けるファイルへのリンクと、修正バージョンに関する情報が含まれています。 GitHub は、影響を受けるリポジトリのメンテナに、通知設定に従って新しいアラートについて通知します。 詳しい情報については、「脆弱性のある依存関係に対する通知を設定する」を参照してください。

Dependabotセキュリティアップデート が有効になっているリポジトリの場合、アラートには、マニフェストまたはロックファイルを脆弱性を解決する最小バージョンに更新するためのPull Requestへのリンクも含まれる場合があります。 詳しい情報については、「Dependabotセキュリティアップデート について」を参照してください。

注釈: GitHub のセキュリティの機能は、すべての脆弱性を捕捉するものではありません。 当社は常に脆弱性データベースを更新し、最新の情報でアラートを生成するよう努力していますが、一定の期間内にすべてをの問題を把握したり、既知の脆弱性について通知したりすることはできません。 これらの機能は、それぞれの依存関係の潜在的な脆弱性やその他の問題に関する人によるレビューを置き換えるものではなく、必要な場合にはセキュリティサービスによるコンサルティングや、総合的な脆弱性レビューを行うことをおすすめします。

Dependabotアラートへのアクセス

リポジトリのセキュリティタブ、もしくはリポジトリの依存関係グラフにおいて、特定のプロジェクトに影響するすべてのアラートを見ることができます。 詳細については、「リポジトリ内の脆弱な依存関係を表示・更新する」を参照してください。

デフォルトでは、新しいDependabotアラートに関して影響を受けるリポジトリに管理権限を持っている人に通知を行います。 GitHubは、いかなるリポジトリについても特定された脆弱性を公開することはありません。 Dependabotアラート を、自分が所有または管理者権限を持っているリポジトリで作業している追加のユーザや Team に表示することもできます。 詳しい情報については「リポジトリのセキュリティ及び分析の設定の管理」を参照してください。

To receive notifications about Dependabotアラート on repositories, you need to watch these repositories, and subscribe to receive "All Activity" notifications or configure custom settings to include "Security alerts." For more information, see "Configuring your watch settings for an individual repository."

You can choose the delivery method for notifications, as well as the frequency at which the notifications are sent to you. 詳しい情報については「脆弱性のある依存関係に対するアラートの設定」を参照してください。

GitHub Advisory Database内の特定の脆弱性に対応するすべてのDependabotアラートを見ることもできます。 詳しい情報については「GitHub Advisory Databaseでのセキュリティ脆弱性を参照する」及び「GitHub Security Advisoriesについて」を参照してください。

参考リンク

このドキュメントは役立ちましたか?

プライバシーポリシー

これらのドキュメントを素晴らしいものにするのを手伝ってください!

GitHubのすべてのドキュメントはオープンソースです。間違っていたり、はっきりしないところがありましたか?Pull Requestをお送りください。

コントリビューションを行う

OR, コントリビューションの方法を学んでください。

問題がまだ解決していませんか?