依存関係グラフを設定する

依存関係グラフについて

依存関係グラフは、リポジトリに格納されているマニフェストおよびロック ファイルと、Dependency submission API (ベータ) を使用してリポジトリに送信された依存関係の概要です。 それぞれのリポジトリについて、以下が表示されます:

• リポジトリが依存している依存関係、エコシステム、パッケージ
• リポジトリに依存する対象、リポジトリ、パッケージ

依存関係ごとに、ライセンス情報と 脆弱性の重大度を確認できます。 検索バーを使用して、特定の依存関係を検索することもできます。 依存関係は、脆弱性の重大度によって自動的に並べ替えられます。

詳しくは、「依存関係グラフについて」を参照してください。

依存関係グラフの構成について

依存関係グラフを生成するには、GitHub がリポジトリの依存関係のマニフェストとロックファイルに読み取りアクセスできる必要があります。 依存関係グラフは、パブリックリポジトリに対しては常に自動的に生成され、プライベートリポジトリに対しては有効化を選択することができます。 依存関係グラフの表示について詳しくは、「リポジトリの依存関係を調べる」をご覧ください。

また、エコシステムがマニフェストやロック ファイル分析の依存関係グラフでサポートされていなくても、選択したパッケージ マネージャーやエコシステムから依存関係申請 API (ベータ版) を使って依存関係を送信できます。 依存関係申請 API を使ってプロジェクトに送信された依存関係には、送信に使用された検出機能と送信日時が表示されます。 依存関係送信 API について詳しくは、「Dependency Submission API を使用する」をご覧ください。

組織内の複数のリポジトリに対して同時に依存関係グラフを有効にすることもできます。 詳しくは、「組織のセキュリティ保護」を参照してください。

の有効化

プライベートリポジトリの依存関係グラフを有効化および無効化する

リポジトリ管理者は、プライベート リポジトリの依存関係グラフを有効または無効にすることができます。

ユーザーアカウントが所有するすべてのリポジトリの依存関係グラフを有効または無効にすることができます。 詳しくは、「個人アカウントのセキュリティと分析設定を管理する」をご覧ください。

組織内の複数のリポジトリに対して同時に依存関係グラフを有効にすることもできます。 詳しくは、「組織のセキュリティ保護」を参照してください。

1. GitHub.com で、リポジトリのメイン ページへ移動します。

2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

   

3. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

4. リポジトリ データへの読み取りアクセスを GitHub に許可して依存関係グラフを有効にすることに関するメッセージを読んだうえで、[依存関係グラフ] の隣にある [有効] をクリックします。

   

   [コードのセキュリティと分析] の設定ページで、[依存関係グラフ] の横にある [無効] をクリックすることで、いつでも依存関係グラフを無効にできます。

依存関係グラフを初めて有効化すると、サポートされているエコシステムのマニフェストおよびロックファイルがすぐに解析されます。 グラフは通常数分以内に入力されますが、多くの依存関係を持つリポジトリの場合は時間がかかる場合があります。 有効にすると、リポジトリにプッシュするたびに、またグラフ中の他のリポジトリにプッシュするたびに、グラフが自動的に更新されます。

参考資料

• Dependabot アラートの表示と更新
• 脆弱性のある依存関係の検出のトラブルシューティング