Skip to main content

Dependabot 自動トリアージ ルールについて

Dependabot 自動トリアージ ルール は、大規模なセキュリティ アラートをより適切に管理するのに役立つ強力なツールです。 Dependabot の既定のルールがキュレーションされ、有意な数の擬陽性が除外されます。 カスタム自動トリアージ ルール では、どのアラートを無視するか、スヌーズするか、または Dependabotの セキュリティ更新プログラムをトリガーしてそのアラートを解決するかを制御できます。

Who can use this feature?

People with write permissions can view Dependabot 自動トリアージ ルール for the repository. People with admin permissions to a repository can enable or disable 自動トリアージ ルール for the repository, as well as create カスタム自動トリアージ ルール. Additionally, organization owners and security managers can set 自動トリアージ ルール at the organization-level and optionally choose to enforce rules for repositories in the organization.

注: Dependabot は現在ベータ版であり、変更される可能性があります。

Dependabot 自動トリアージ ルール について

Dependabot 自動トリアージ ルール を使用すると、Dependabot が Dependabot alerts を自動的にトリアージするように指示できます。 自動トリアージ ルール を使用して、特定のアラートを自動的に無視またはスヌーズしたり、Dependabot でpull request を開くアラートを指定したりできます。

Dependabot 自動トリアージ ルール には、次の 2 種類があります。

  • GitHub でキュレーションされた既定のルール
  • カスタム自動トリアージ ルール

GitHub によってキュレーションされたデフォルト ルール、 Dismiss low impact issues for development-scoped dependencies は、開発中に使用される npm 依存関係に存在する特定の種類の脆弱性を自動的に無視します。 このルールは、誤検知を減らし、アラートの疲労を軽減するためにキュレーションされています。 このルールは、公開用 リポジトリに対してデフォルトで有効になっており、プライベート リポジトリに対してオプトインできます。 ただし、GitHub でキュレーションされた既定のルール を変更することはできません。 詳しくは、「GitGub でキュレーションされたデフォルト ルールを使用して Dependabot アラートの優先度を設定する」を参照してください。

カスタム自動トリアージ ルール を使用すると、独自のルールを作成して、対象のメタデータ、例えば可分性、パッケージ名、CWE などに基づいてアラートを自動的に無視するか、再度開くことができます。 Dependabotpull request を開くアラートを指定できます。 詳しくは、「自動トリアージ ルールをカスタマイズして Dependabot アラートの優先度を設定する」を参照してください。

アラートを自動無視すると便利な場合がありますが、その場合でも、自動無視されたアラートを再オープンしたり、自動無視されたアラートをフィルター処理して表示したりすることができます。 詳しくは、「Dependabot 自動トリアージ ルールによって自動的に無視されたアラートの管理」を参照してください。

さらに、アラートは、自動無視されてもレポートおよびレビューに使用できます。また、アラート メタデータが変更された場合、自動再オープンされます。たとえば、次のような場合があります。

  • 依存関係のスコープを開発から運用に変更する場合。
  • GitHub で、関連するアドバイザリの特定のメタデータを変更する場合。

自動無視されるアラートは、resolution:auto-dismiss クローズ理由によって定義されます。 自動無視アクティビティは、アラート Webhook、REST および GraphQL API、Audit log に含まれます。 詳しくは、REST API のドキュメントの「Dependabot alerts」および「組織の Audit log をレビューする」の「repository_vulnerability_alert」セクションを参照してください。

参考資料