Skip to main content

Dependabot アラートの構成

新しい脆弱な依存関係がいずれかのリポジトリに見つかった場合に、Dependabot alertsが生成されるようにします。

脆弱性のある依存関係の Dependabot alerts

脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。 脆弱性の種類、重要度、攻撃の方法は様々です。

GitHub Advisory Database に新しいアドバイザリが追加されたとき、またはリポジトリの依存関係グラフが変更されたとき、Dependabot によってコードがスキャンされます。 脆弱な依存関係が検出されると、Dependabot alertsが生成されます。 詳しくは、「Dependabot アラートについて」を参照してください。

Dependabot security updatesをリポジトリに対して有効にしている場合、アラートには、脆弱性を解決する最小バージョンにマニフェストまたはロック ファイルを更新する pull request へのリンクも含まれる場合があります。 詳しくは、「Dependabot のセキュリティ アップデート」を参照してください。

次の場合、Dependabot alerts を有効か無効にできます。

  • 個人アカウント
  • リポジトリ
  • Organization
  • Enterprise

さらに、Dependabot 自動トリアージ ルール を使用してアラートを大規模に管理できるため、アラートを自動的に閉じたりスヌーズしたりして、pull requestを開く Dependabot アラートを指定できます。 さまざまな種類の自動トリアージ ルールと、およびリポジトリが適格かどうかについては、「Dependabot 自動トリアージ ルールについて」を参照してください。

個人アカウントの Dependabot alerts の管理

個人アカウントが所有するすべてのリポジトリの Dependabot alerts を有効か無効にできます。

既存のリポジトリに対する Dependabot alerts の有効化または無効化

  1. 任意のページで、右上隅にあるプロファイルの画像をクリックし、次に[設定]をクリックします。

    Screenshot of a user's account menu on GitHub. The menu item "Settings" is outlined in dark orange.

  2. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

  3. Code security and analysis で、Dependabot alerts の右側にある [すべて無効にする][すべて有効にする] をクリックします。

  4. 必要に応じて、作成した新しいリポジトリで Dependabot alerts を既定で有効にするには、ダイアログ ボックスで [新しいリポジトリに対して既定で有効にする] を選びます。

  5. [Dependabot alertsを無効にする][Dependabot alertsを有効にする] をクリックすると、所有しているすべてのリポジトリに対して Dependabot alerts を無効か有効にすることができます。

既存のリポジトリに対して Dependabot alerts を有効にすると、数分以内に GitHub に結果が表示されるようになります。

新規リポジトリに対する Dependabot alerts の有効化または無効化

  1. 任意のページで、右上隅にあるプロファイルの画像をクリックし、次に[設定]をクリックします。

    Screenshot of a user's account menu on GitHub. The menu item "Settings" is outlined in dark orange.

  2. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

  3. [コード セキュリティと分析] の Dependabot alerts の右側にある [新しいリポジトリに対して自動的に有効にする] を選びます。

リポジトリの Dependabot alerts の管理

パブリック、プライベート、または内部リポジトリの Dependabot alerts を管理できます。

既定では、新しいDependabot alertsに関して影響を受けるリポジトリに書き込み、保守、または管理アクセス権を持つ人に通知されます。 GitHub Enterprise Cloud は、どのようなリポジトリについても、安全でない依存関係を公表することはありません。 Dependabot alerts を、自分が所有または管理者権限を持っているリポジトリで作業している追加のユーザーやチームに表示することもできます。

セキュリティ機能と分析機能を有効にした場合、GitHub はリポジトリで読み取り専用分析を実行します。

リポジトリに対する Dependabot alerts の有効化および無効化

  1. GitHub.com で、リポジトリのメイン ページへ移動します。

  2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

  4. [コードのセキュリティと分析] で、Dependabot alertsの右側にある [有効にする] をクリックしてアラートを有効にするか、 [無効にする] をクリックしてアラートを無効にします。

Organization の Dependabot alerts の管理

Organization が所有するリポジトリの一部またはすべてに対して Dependabot alerts を有効または無効にできます。 組織全体でセキュリティ機能を有効にする方法の詳細については、「組織を保護するためのクイック スタート」を参照してください。

既存のすべてのリポジトリに対する Dependabot alerts の有効化または無効化

セキュリティの概要を使って一連のリポジトリを検索し、それらすべてに対する Dependabot alerts を同時に有効または無効にできます。 詳しくは、「複数のリポジトリでセキュリティ機能を有効にする」を参照してください。

また、[コードのセキュリティと分析] の Organization 設定ページを使って、Organization 内のすべての既存リポジトリで Dependabot alerts を有効または無効にすることもできます。

  1. GitHub の右上隅で、プロフィール写真を選択し、 あなたの組織をクリックします。
  2. 組織の隣の [設定] をクリックします。
  3. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

Note

Organization が security configurations と global settings パブリック ベータに登録されている場合は、[コード のセキュリティと分析] ではなく、[コード セキュリティ] ドロップダウン メニューが表示されます。 [コード セキュリティ] を選択し、[構成] をクリックします。Dependabot alerts とその他のセキュリティ機能を security configurations で大規模に有効にする次の手順については、「組織での GitHub で推奨されるセキュリティ構成の適用」を参照してください。

  1. Code security and analysis で、Dependabot alerts の右側にある [すべて無効にする][すべて有効にする] をクリックします。
  2. 必要に応じて、Organization の新しいリポジトリで Dependabot alerts を既定で有効にするには、ダイアログ ボックスで [新しいリポジトリに対して既定で有効にする] を選びます。
  3. [Dependabot alertsを無効にする][Dependabot alertsを有効にする] をクリックすると、Organization 内のすべてのリポジトリに対して Dependabot alerts を無効か有効にすることができます。

Enterprise の Dependabot alerts の管理

Enterprise 内の Organization が所有する現在と将来のすべてのリポジトリに対して、Dependabot alerts を有効または無効にできます。 変更はすべてのリポジトリに影響します。

注: Enterprise レベルで Dependabot alerts を有効または無効にすると、Dependabot alerts の Organization およびリポジトリ レベルの設定はオーバーライドされます。

  1. GitHub の右上の自分のプロフィール写真をクリックし、[自分の Enterprise] をクリックします。

  2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。

  3. Enterprise アカウントのサイドバーで、 [設定] をクリックします。

  4. 左側のサイドバーで、 [コードのセキュリティと分析] をクリックします。

  5. この [Dependabot] セクションの [Dependabot alerts] の右側にある [すべて無効にする] または [すべて有効にする] をクリックします。

  6. 必要に応じて、 [Automatically enable for new repositories] (新しいリポジトリの場合は自動的に有効にする) を選ぶと、Organization の新しいリポジトリで Dependabot alerts が既定で有効になります。