リポジトリ内の脆弱な依存関係を表示・更新する

GitHub がプロジェクト内の脆弱性のある依存関係を発見した場合は、それらをリポジトリの [Dependabot alerts] タブで確認できます。 その後、プロジェクトを更新してこの脆弱性を解決することができます。

Repository administrators and organization owners can view and update dependencies.

Your repository's Dependabot alerts tab lists all open and closed Dependabotアラート and corresponding Dependabotセキュリティアップデート. ドロップダウンメニューを使用してアラートのリストを並べ替えることができます。また、特定のアラートをクリックしてその詳細を表示することもできます。 詳しい情報については、「脆弱性のある依存関係に対するアラートについて」を参照してください。

Dependabotアラート と依存関係グラフを使用するリポジトリの自動セキュリティ更新を有効にすることができます。 詳しい情報については、「Dependabotセキュリティアップデート について」を参照してください。

加えて、 GitHubは、リポジトリのデフォルトブランチに対して作成されたPull Request中で追加、更新、削除された依存関係のレビューを行うことができ、プロジェクトに脆弱性をもたらすような変更にフラグを立てることができます。 これによって、脆弱な依存関係がコードベースに達したあとではなく、達する前に特定して対処できるようになります。 詳しい情報については「Pull Request中の依存関係の変更のレビュー」を参照してください。

リポジトリ内の脆弱性のある依存関係の更新について

コードベースが既知の脆弱性のある依存関係を使用していることを検出すると、GitHub は Dependabotアラート を生成します。 Dependabotセキュリティアップデート が有効になっているリポジトリの場合、GitHub がデフォルトのブランチで脆弱性のある依存関係を検出すると、Dependabot はそれを修正するためのプルリクエストを作成します。 Pull Requestは、脆弱性を回避するために必要最低限の安全なバージョンに依存関係をアップグレードします。

脆弱性のある依存関係を表示して更新する

  1. GitHubで、リポジトリのメインページにアクセスしてください。
  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。 セキュリティのタブ
  3. セキュリティサイドバーで、Dependabotアラートをクリックしてください。Dependabotアラート tab
  4. 表示したいアラートをクリックします。 アラートリストで選択されたアラート
  5. 脆弱性の詳細を確認し、可能な場合は、自動セキュリティアップデートを含むプルリクエストを確認します。
  6. 必要に応じて、アラートに対する Dependabotセキュリティアップデート アップデートがまだ入手できない場合、脆弱性を解決するプルリクエストを作成するには、[Create Dependabot security update] をクリックします。 Dependabot セキュリティアップデートボタンを作成
  7. 依存関係を更新して脆弱性を解決する準備ができたら、プルリクエストをマージしてください。 Dependabot によって発行される各プルリクエストには、Dependabot の制御に使用できるコマンドの情報が含まれています。 詳しい情報については、「依存関係の更新に関するプルリクエストを管理する 」を参照してください。
  8. 必要に応じて、アラートが正しく修正されていない場合や、未使用のコード内に含まれている場合は、[Dismiss] ドロップダウンを使用して、アラートを却下する理由をクリックします。 [Dismiss] ドロップダウンでアラートを却下する理由を選択する

参考リンク

このドキュメントは役立ちましたか?プライバシーポリシー

これらのドキュメントを素晴らしいものにするのを手伝ってください!

GitHubのすべてのドキュメントはオープンソースです。間違っていたり、はっきりしないところがありましたか?Pull Requestをお送りください。

コントリビューションを行う

OR, コントリビューションの方法を学んでください。

問題がまだ解決していませんか?

GitHubコミュニティで質問するサポートへの連絡