脆弱な依存関係とマルウェアに関する Dependabot alertsについて
脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。 脆弱性の種類、重要度、攻撃の方法は様々です。
GitHub Advisory Database に新しいアドバイザリが追加されたとき、またはリポジトリの依存関係グラフが変更されたとき、Dependabot によってコードがスキャンされます。 脆弱な依存関係またはマルウェアが検出されると、Dependabot alertsが生成されます。 詳しくは、「Dependabot アラートについて」を参照してください。
If you have enabled Dependabot security updatesをリポジトリに対して有効にしている場合、アラートには、脆弱性を解決する最小バージョンにマニフェストまたはロック ファイルを更新するための pull request へのリンクも含まれる場合があります。 詳しくは、「Dependabot のセキュリティ アップデート」を参照してください。
次の場合、Dependabot alerts を有効か無効にできます。
- 個人アカウント
- リポジトリ
- 組織
- エンタープライズ
個人アカウントの Dependabot alerts の管理
個人アカウントが所有するすべてのリポジトリの Dependabot alerts を有効か無効にできます。
既存のリポジトリに対する Dependabot alerts の有効化または無効化
-
任意のページで、右上隅にあるプロファイルの画像をクリックし、次に[設定]をクリックします。
-
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
-
Code security and analysis で、Dependabot alerts の右側にある [すべて無効にする] か [すべて有効にする] をクリックします。
-
必要に応じて、作成した新しいリポジトリで Dependabot alerts を既定で有効にするには、ダイアログ ボックスで [新しいリポジトリに対して既定で有効にする] を選びます。
-
[Dependabot alertsを無効にする] か [Dependabot alertsを有効にする] をクリックすると、所有しているすべてのリポジトリに対して Dependabot alerts を無効か有効にすることができます。
既存のリポジトリに対して Dependabot alerts を有効にすると、数分以内に GitHub に結果が表示されるようになります。
新規リポジトリに対する Dependabot alerts の有効化または無効化
-
任意のページで、右上隅にあるプロファイルの画像をクリックし、次に[設定]をクリックします。
-
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
-
[コード セキュリティと分析] の Dependabot alerts の右側にある [新しいリポジトリに対して自動的に有効にする] を選びます。
リポジトリの Dependabot alerts の管理
パブリック、プライベート、または内部リポジトリの Dependabot alerts を管理できます。
既定では、新しいDependabot alertsに関して影響を受けるリポジトリに書き込み、保守、または管理アクセス権を持つ人に通知されます。 GitHub Enterprise Cloud は、どのようなリポジトリについても、安全でない依存関係を公表することはありません。 Dependabot alerts を、自分が所有または管理者権限を持っているリポジトリで作業している追加のユーザーやチームに表示することもできます。
セキュリティ機能と分析機能を有効にした場合、GitHub はリポジトリで読み取り専用分析を実行します。
リポジトリに対する Dependabot alerts の有効化および無効化
-
GitHub.com で、リポジトリのメイン ページへ移動します。
-
リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
-
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
-
[コードのセキュリティと分析] で、Dependabot alertsの右側にある [有効にする] をクリックしてアラートを有効にするか、 [無効にする] をクリックしてアラートを無効にします。
組織の Dependabot alerts の管理
組織が所有する一部またはすべてのリポジトリに対して、Dependabot alerts を有効または無効にできます。 組織全体でセキュリティ機能を有効にする方法の詳細については、「組織のセキュリティ保護」を参照してください。
既存のすべてのリポジトリに対する Dependabot alerts の有効化または無効化
セキュリティの概要を使って一連のリポジトリを検索し、それらすべてに対する Dependabot alerts を同時に有効または無効にできます。 詳しくは、「複数のリポジトリでセキュリティ機能を有効にする」を参照してください。
また、[コードのセキュリティと分析] の組織設定ページを使って、組織内のすべての既存リポジトリで Dependabot alerts を有効または無効にすることもできます。
-
GitHub.com の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。
-
組織の隣の [設定] をクリックします。
-
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
-
Code security and analysis で、Dependabot alerts の右側にある [すべて無効にする] か [すべて有効にする] をクリックします。
-
必要に応じて、組織の新しいリポジトリで Dependabot alerts を既定で有効にするには、ダイアログ ボックスで [新しいリポジトリに対して既定で有効にする] を選びます。
-
[Dependabot alertsを無効にする] か [Dependabot alertsを有効にする] をクリックすると、組織内のすべてのリポジトリに対して Dependabot alerts を無効か有効にすることができます。
エンタープライズの Dependabot alerts の管理
企業内の組織が所有する現在と将来のすべてのリポジトリに対して、Dependabot alerts を有効または無効にできます。 変更はすべてのリポジトリに影響します。
注: エンタープライズ レベルで Dependabot alerts を有効または無効にすると、Dependabot alerts の組織およびリポジトリ レベルの設定はオーバーライドされます。
-
GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。
-
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
-
Enterprise アカウントのサイドバーで、 [設定] をクリックします。
-
左側のサイドバーで、 [コードのセキュリティと分析] をクリックします。
-
この [Dependabot] セクションの [Dependabot alerts] の右側にある [すべて無効にする] または [すべて有効にする] をクリックします。
-
必要に応じて、 [Automatically enable for new repositories] (新しいリポジトリの場合は自動的に有効にする) を選ぶと、組織の新しいリポジトリで Dependabot alerts が既定で有効になります。