Skip to main content

Dependabot 自動トリアージ ルールについて

Dependabot 自動トリアージ ルール は、大規模なセキュリティ アラートをより適切に管理するのに役立つ強力なツールです。 GitHub プリセット は、GitHub によって厳選されたルールで、大量の誤検知を絞り込みするために使用できます。 カスタム自動トリアージ ルール では、どのアラートを無視するか、スヌーズするか、または Dependabotの セキュリティ更新プログラムをトリガーしてそのアラートを解決するかを制御できます。

この機能を使用できるユーザーについて

Dependabot 自動トリアージ ルール は、次のリポジトリの種類で使用できます。

  • GitHub プリセット のすべてのリポジトリ
  • カスタム自動トリアージ ルール のために GitHub Advanced Security が有効になっている組織所有のリポジトリ

Dependabot 自動トリアージ ルール について

Dependabot 自動トリアージ ルール を使用すると、Dependabot が Dependabot alerts を自動的にトリアージするように指示できます。 自動トリアージ ルール を使用して、特定のアラートを自動的に無視またはスヌーズしたり、Dependabot でpull request を開くアラートを指定したりできます。

Dependabot 自動トリアージ ルール には、次の 2 種類があります。

  • GitHub プリセット
  • カスタム自動トリアージ ルール

GitHub プリセット について

Note

Dependabot alerts の はすべてのリポジトリで利用できるルールです。

GitHub プリセット は、GitHub によってキュレーションされたルールです。 Dismiss low impact issues for development-scoped dependencies は、GitHub プリセットルールです。 このルールでは、開発で使用される npm 依存関係で見つかった特定の種類の脆弱性は自動的に無視されます。 このルールは、誤検知を減らし、アラートの疲労を軽減するためにキュレーションされています。 GitHub プリセット を変更することはできません。 GitHub プリセット について詳しくは、「GitHub プリセット ルールを使用して Dependabot アラートに優先順位を付ける」をご覧ください。

このルールは、公開用 リポジトリに対してデフォルトで有効になっており、プライベート リポジトリに対してオプトインできます。 プライベート リポジトリのルールは、リポジトリの [設定] タブで有効にすることができます。 詳しくは、「プライベート リポジトリの Dismiss low impact issues for development-scoped dependencies ルールを有効にする」を参照してください。

カスタム自動トリアージ ルール

について

Note

Dependabot alerts の カスタム自動トリアージ ルール は、GitHub Advanced Security が有効な GitHub Enterprise Cloud を使用する organization の organization 所有のリポジトリで利用できます。

カスタム自動トリアージ ルール を使用すると、独自のルールを作成して、対象のメタデータ、例えば可分性、パッケージ名、CWE などに基づいてアラートを自動的に無視するか、再度開くことができます。 Dependabotpull request を開くアラートを指定できます。 詳しくは、「自動トリアージ ルールをカスタマイズして Dependabot アラートの優先度を設定する」をご覧ください。

リポジトリが GitHub Advanced Security のライセンスを持つ organization に属している場合は、リポジトリの [設定] タブからカスタム ルールを作成できます。 詳しくは、「カスタム自動トリアージ ルールをリポジトリに追加する」を参照してください。

アラートの自動消去について

自動トリアージ ルールを使用してアラートを自動消去すると便利な場合がありますが、自動消去されたアラートを再度開いてフィルタリングして、どのアラートが自動消去されたかを確認することもできます。 詳しくは、「Dependabot 自動トリアージ ルールによって自動的に無視されたアラートの管理」をご覧ください。

さらに、アラートは、自動無視されてもレポートおよびレビューに使用できます。また、アラート メタデータが変更された場合、自動再オープンされます。たとえば、次のような場合があります。

  • 依存関係のスコープを開発から運用に変更する場合。
  • GitHub で、関連するアドバイザリの特定のメタデータを変更する場合。

自動無視されるアラートは、resolution:auto-dismiss クローズ理由によって定義されます。 自動無視アクティビティは、アラート Webhook、REST および GraphQL API、Audit log に含まれます。 詳しくは、「Dependabot alerts 用の REST API エンドポイント」と、「Organization の Audit log をレビューする」の「repository_vulnerability_alert」セクションを参照してください。

参考資料