脆弱な依存関係とマルウェアに関する Dependabot alertsについて
脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。 脆弱性の種類、重要度、攻撃の方法は様々です。
GitHub Advisory Database に新しいアドバイザリが追加されたとき、またはリポジトリの依存関係グラフが変更されたとき、Dependabot によってコードがスキャンされます。 脆弱な依存関係またはマルウェアが検出されると、Dependabot alertsが生成されます。 詳しくは、「Dependabot アラートについて」を参照してください。
次の場合、Dependabot alerts を有効か無効にできます。
- 個人アカウント
- リポジトリ
- 組織
- エンタープライズ
個人アカウントの Dependabot alerts の管理
個人アカウントが所有するすべてのリポジトリの Dependabot alerts を有効か無効にできます。
既存のリポジトリに対する Dependabot alerts の有効化または無効化
-
任意のページで、右上隅にあるプロファイルの画像をクリックし、次に[設定]をクリックします。
-
サイドバーの [セキュリティ] セクションで、 [コード セキュリティと分析] をクリックします。
-
Code security and analysis で、Dependabot alerts の右側にある [すべて無効にする] か [すべて有効にする] をクリックします。
-
必要に応じて、作成した新しいリポジトリで Dependabot alerts を既定で有効にするには、ダイアログ ボックスで [新しいリポジトリに対して既定で有効にする] を選びます。
-
[Dependabot alertsを無効にする] か [Dependabot alertsを有効にする] をクリックすると、所有しているすべてのリポジトリに対して Dependabot alerts を無効か有効にすることができます。
既存のリポジトリに対して Dependabot alerts を有効にすると、数分以内に GitHub に結果が表示されるようになります。
新規リポジトリに対する Dependabot alerts の有効化または無効化
-
任意のページで、右上隅にあるプロファイルの画像をクリックし、次に[設定]をクリックします。
-
サイドバーの [セキュリティ] セクションで、 [コード セキュリティと分析] をクリックします。
-
[コード セキュリティと分析] の Dependabot alerts の右側にある [新しいリポジトリに対して自動的に有効にする] を選びます。
リポジトリの Dependabot alerts の管理
パブリック、プライベート、または内部リポジトリの Dependabot alerts を管理できます。
デフォルトでは、新しいDependabot alertsに関して影響を受けるリポジトリに管理権限を持っている人に通知を行います。 GitHub Enterprise Cloud は、どのようなリポジトリについても、安全でない依存関係を公表することはありません。 Dependabot alerts を、自分が所有または管理者権限を持っているリポジトリで作業している追加のユーザーやチームに表示することもできます。
セキュリティ機能と分析機能を有効にした場合、GitHub はリポジトリで読み取り専用分析を実行します。 詳しくは、「GitHubによるユーザのデータの利用について」を参照してください。
リポジトリに対する Dependabot alerts の有効化および無効化
-
GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下にある [設定] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
-
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
-
[コードのセキュリティと分析] で、Dependabot alertsの右側にある [有効にする] をクリックしてアラートを有効にするか、 [無効にする] をクリックしてアラートを無効にします。
組織の Dependabot alerts の管理
組織が所有するすべてのリポジトリに対して Dependabot alerts を有効か無効にできます。 変更はすべてのリポジトリに影響します。
既存のすべてのリポジトリに対する Dependabot alerts の有効化または無効化
-
GitHub.com の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。
2. 組織の隣の [設定] をクリックします。 -
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
-
Code security and analysis で、Dependabot alerts の右側にある [すべて無効にする] か [すべて有効にする] をクリックします。
-
必要に応じて、組織の新しいリポジトリで Dependabot alerts を既定で有効にするには、ダイアログ ボックスで [新しいリポジトリに対して既定で有効にする] を選びます。
-
[Dependabot alertsを無効にする] か [Dependabot alertsを有効にする] をクリックすると、組織内のすべてのリポジトリに対して Dependabot alerts を無効か有効にすることができます。
エンタープライズの Dependabot alerts の管理
企業内の組織が所有する現在と将来のすべてのリポジトリに対して、Dependabot alerts を有効または無効にできます。 変更はすべてのリポジトリに影響します。
注: エンタープライズ レベルで Dependabot alerts を有効または無効にすると、Dependabot alerts の組織およびリポジトリ レベルの設定はオーバーライドされます。
-
GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。
-
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
-
Enterprise アカウントのサイドバーで、 [設定] をクリックします。
-
左側のサイドバーで、 [コードのセキュリティと分析] をクリックします。
-
この [Dependabot] セクションの [Dependabot alerts] の右側にある [すべて無効にする] または [すべて有効にする] をクリックします。
-
必要に応じて、 [Automatically enable for new repositories] (新しいリポジトリの場合は自動的に有効にする) を選ぶと、組織の新しいリポジトリで Dependabot alerts が既定で有効になります。