Dependabot のセキュリティアップデート

Dependabot は、セキュリティアップデートプログラムを使用してプルリクエストを発行することにより、脆弱性のある依存関係を修正できます。

Dependabotセキュリティアップデート について

Dependabotセキュリティアップデート で、リポジトリ内の脆弱性のある依存関係を簡単に修正できます。 この機能を有効にすると、リポジトリの依存関係グラフで脆弱性のある依存関係に対して Dependabot アラートが発生すると、Dependabot は自動的にそれを修正しようとします。 詳しい情報については、「脆弱性のある依存関係に対するアラートについて」 および「Dependabotセキュリティアップデート を設定する」を参照してください。

GitHub may send Dependabot alerts to repositories affected by a vulnerability disclosed by a recently published GitHub security advisory. 詳しい情報については、「GitHub Security Advisories について」を参照してください。

Dependabot は、リポジトリの依存関係グラフを中断することなく、脆弱性のある依存関係を修正バージョンにアップグレードできるかどうかを確認します。 次に、 Dependabot はプルリクエストを発生させて、パッチを含む最小バージョンに依存関係を更新し、プルリクエストを Dependabot アラートにリンクするか、アラートのエラーを報告します。 詳しい情報については、「Dependabot エラーのトラブルシューティング」を参照してください。

注釈

Dependabotセキュリティアップデート 機能は、依存関係グラフと Dependabotアラート を有効にしているリポジトリで使用できます。 完全な依存関係グラフで識別されたすべての脆弱性のある依存関係について、Dependabot アラートが表示されます。 ただし、セキュリティアップデートプログラムは、マニフェストファイルまたはロックファイルで指定されている依存関係に対してのみトリガーされます。 Dependabot は、明示的に定義されていない間接的または推移的な依存関係を更新できません。 詳しい情報については、「依存関係グラフについて」を参照してください。

関連する機能 Dependabotバージョンアップデート を有効にして、Dependabot が古い依存関係を検出するたびに、マニフェストを最新バージョンの依存関係に更新するプルリクエストを生成させることができます。 詳しい情報については、「Dependabot バージョン更新について」を参照してください。

DependabotがPull Requestを起こす場合、それらのPull Requestはセキュリティもしくはバージョンアップデートです。

  • Dependabotセキュリティアップデートは、既知の脆弱性についての依存関係の更新を支援する自動化されたPull Requestです。
  • Dependabotバージョンアップデートは、依存関係が脆弱性を持たない場合でも更新されているようにする、自動化されたPull Requestです。 バージョンアップデートの状態をチェックするには、リポジトリのInsights(インサイト)タブ、続いてDependency Graph(依存関係グラフ)、そしてDependabotにアクセスしてください。

セキュリティアップデートのプルリクエストについて

各プルリクエストには、提案された修正を迅速かつ安全に確認してプロジェクトにマージするために必要なすべてのものが含まれています。 これには、リリースノート、変更ログエントリ、コミットの詳細などの脆弱性に関する情報が含まれます。 プルリクエストが解決する脆弱性の詳細は、リポジトリの Dependabotアラート にアクセスできないユーザには表示されません。

セキュリティアップデートを含むプルリクエストをマージすると、対応する Dependabot アラートがリポジトリに対して解決済みとしてマークされます。 Dependabot プルリクエストの詳細については、「依存関係の更新に関するプルリクエストを管理する」を参照してください。

ノート: 自動テキストと受け入れプロセスを持っておき、Pull Requestがマージされる前にチェックが行われるようにしておくのは良い習慣です。 これは特に、アップグレードが提案されたバージョンに追加機能があったり、プロジェクトのコードを破壊するような変更がある場合に重要です。 継続的インテグレーションに関する詳しい情報については「継続的インテグレーション」を参照してください。

互換性スコアについて

Dependabotセキュリティアップデート には、互換性スコアが含まれている場合があります。これは、脆弱性を更新することでプロジェクトに重大な変更が発生する可能性があるかどうかを知らせるものです。 これらは、同じセキュリティアップデートプログラムが生成された他のパブリックリポジトリでの CI テストから計算されます。 更新の互換性スコアは、依存関係の特定のバージョンの更新前後で、実行した CI がパスした割合です。

Dependabot セキュリティアップデートの通知について

GitHub で通知をフィルタして、Dependabot セキュリティアップデートを表示できます。 詳しい情報については「インボックスからの通知の管理」を参照してください。

このドキュメントは役立ちましたか?プライバシーポリシー

これらのドキュメントを素晴らしいものにするのを手伝ってください!

GitHubのすべてのドキュメントはオープンソースです。間違っていたり、はっきりしないところがありましたか?Pull Requestをお送りください。

コントリビューションを行う

OR, コントリビューションの方法を学んでください。

問題がまだ解決していませんか?

GitHubコミュニティで質問するサポートへの連絡