ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

Viewing and updating vulnerable dependencies in your repository

If GitHub discovers vulnerable dependencies in your project, you can view them on the Dependabot alerts tab of your repository. Then, you can update your project to resolve or dismiss the vulnerability.

Repository administrators and organization owners can view and update dependencies.

Your repository's Dependabotアラート tab lists all open and closed Dependabotアラート and corresponding Dependabotセキュリティアップデート. You can sort the list of alerts by selecting the drop-down menu, and you can click into specific alerts for more details. For more information, see "About alerts for vulnerable dependencies."

You can enable automatic security updates for any repository that uses Dependabotアラート and the dependency graph. For more information, see "About Dependabotセキュリティアップデート."

加えて、 GitHubは、リポジトリのデフォルトブランチに対して作成されたPull Request中で追加、更新、削除された依存関係のレビューを行うことができ、プロジェクトに脆弱性をもたらすような変更にフラグを立てることができます。 これによって、脆弱な依存関係がコードベースに達したあとではなく、達する前に特定して対処できるようになります。 詳しい情報については「Pull Request中の依存関係の変更のレビュー」を参照してください。

About updates for vulnerable dependencies in your repository

GitHub generates Dependabotアラート when we detect that your codebase is using dependencies with known vulnerabilities. For repositories where Dependabotセキュリティアップデート are enabled, when GitHub detects a vulnerable dependency in the default branch, Dependabot creates a pull request to fix it. The pull request will upgrade the dependency to the minimum possible secure version needed to avoid the vulnerability.

Viewing and updating vulnerable dependencies

  1. GitHub.comで、リポジトリのメインページにアクセスしてください。
  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。 セキュリティのタブ
  3. セキュリティサイドバーで、Dependabotアラートをクリックしてください。Dependabotアラート tab
  4. Click the alert you'd like to view. Alert selected in list of alerts
  5. Review the details of the vulnerability and, if available, the pull request containing the automated security update.
  6. Optionally, if there isn't already a Dependabotセキュリティアップデート update for the alert, to create a pull request to resolve the vulnerability, click Create Dependabot security update. Create Dependabot security update button
  7. When you're ready to update your dependency and resolve the vulnerability, merge the pull request. Each pull request raised by Dependabot includes information on commands you can use to control Dependabot. For more information, see "Managing pull requests for dependency updates."
  8. Optionally, if the alert is being fixed, if it's incorrect, or located in unused code, select the "Dismiss" drop-down, and click a reason for dismissing the alert. Choosing reason for dismissing the alert via the "Dismiss" drop-down

Further reading

このドキュメントは役立ちましたか?

プライバシーポリシー

これらのドキュメントを素晴らしいものにするのを手伝ってください!

GitHubのすべてのドキュメントはオープンソースです。間違っていたり、はっきりしないところがありましたか?Pull Requestをお送りください。

コントリビューションを行う

OR, コントリビューションの方法を学んでください。

問題がまだ解決していませんか?