自動トリアージ ルールをカスタマイズして Dependabot アラートの優先度を設定する

独自の 自動トリアージ ルール を作成して、どのアラートを無視またはスヌーズするか、および Dependabot で pull request を開くアラートを制御できます。

この機能を使用できるユーザーについて

  • 組織所有者
  • セキュリティマネージャー
  • 管理者アクセス権を持つユーザー (リポジトリの 自動トリアージ ルール を有効化、無効化、表示できるだけでなく、カスタム自動トリアージ ルール を作成することもできます)

GitHub プリセット は、すべてのリポジトリの種類で使用できます。

カスタム自動トリアージ ルール は、次のリポジトリの種類で使用できます。

  • GitHub.com 上のパブリックリポジトリ
  • GitHub Code Security が有効になっている GitHub Team または GitHub Enterprise Cloud 上の organization 所有のリポジトリ

この記事の内容

カスタム自動トリアージ ルール について

アラート メタデータに基づいて、独自の Dependabot 自動トリアージ ルール のアラート ルールを作成できます。 アラートを無期限に自動無視するか、パッチが使用可能になるまでアラートをスヌーズするかを選択できます。また、Dependabot で pull request を開くアラートを指定できます。 規則はアラート通知が送信される前に適用されるため、低リスクのアラートを自動的に無視するカスタム規則を作成すると、その後は、一致するアラートによる通知ノイズを軽減できます。

作成したルールは将来のアラートと現在のアラートの両方に適用されるため、自動トリアージ ルール を使用して Dependabot alerts を一括で管理することもできます。

リポジトリ管理者は、リポジトリのカスタム自動トリアージ ルールを作成できます。 プライベートまたは内部リポジトリの場合、これには GitHub Code Security が必要です。

Organization 所有者とセキュリティ マネージャーは、organization レベルでカスタム自動トリアージ ルールを設定し、organization 内のすべてのパブリックおよびプライベート リポジトリでルールを適用したり有効にしたりするかどうかを選択できます。

  • 適用: Organization レベルのルールが "適用" されると、リポジトリ管理者はルールを編集、無効化、または削除できません。
  • 有効: Organization レベルのルールが "有効" の場合、リポジトリ管理者はリポジトリのルールを無効にできます。

Note

Organization レベルのルールとリポジトリ レベルのルールが競合する動作を指定した場合は、organization レベルのルールによって設定されたアクションが優先されます。 無視ルールは常に、Dependabot の pull request をトリガーするルールの前に動作します。

次のメタデータを使用して、アラートを対象とするルールを作成できます。

  • CVE ID
  • CWE
  • 依存関係スコープ (devDependency または runtime)
  • エコシステム
  • GHSA ID
  • マニフェスト パス (リポジトリ レベルのルールのみ)
  • パッケージ名
  • パッチの可用性
  • 重要度
  • EPSS スコア

カスタム自動トリアージ ルール と Dependabot security updates の対話方法について

カスタム自動トリアージ ルール を使用して、Dependabot で pull request を開くアラートを調整できます。 ただし、"pull request を開く" ルールを有効にするには、ルールを適用する単一または複数のリポジトリに対して Dependabot security updates が無効になっていることを確認する必要があります。

リポジトリに対して Dependabot security updates が有効になっている場合、Dependabot は、使用可能なパッチを持つすべての開いている Dependabot アラートを解決するために pull request を自動的に開こうとします。 ルールを使用してこの動作をカスタマイズする場合は、Dependabot security updates を無効のままにする必要があります。

リポジトリの Dependabot security updates の有効化または無効化の詳細については、「Configuring Dependabot security updates (Dependabot セキュリティ アップデートの構成)」を参照してください。

カスタム自動トリアージ ルール をリポジトリに追加する

Note

パブリック プレビュー 期間中は、リポジトリに対して最大 10 個の カスタム自動トリアージ ルール を作成できます。

  1. GitHub で、リポジトリのメイン ページに移動します。1. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。
    1. サイドバーの [Security] セクションで、[ Advanced Security] をクリックします。1. 「Dependabot alerts」で、「Dependabot rules」ルール付近の をクリックします。1. [新しいルール] をクリックします。1. 「ルール名前」の下で、このルールの実行内容を説明します。

  2. [状態] で、ドロップダウン メニューを使用して、リポジトリに対してルールを有効または無効にするかどうかを選択します。

  3. 「ターゲット アラート」で、アラートのフィルター処理に使用するメタデータを選択します。

  4. [ルール] で、メタデータに一致するアラートに対して実行するアクションを選択します。

    • メタデータに一致するアラートを自動的に無視するには、[アラートの無視] を選択します。 アラートを無期限に自動無視するか、パッチが利用可能になるまでスヌーズすることができます。
    • Dependabot で、対象となるメタデータに一致するアラートを解決するための変更を提案する場合は、[pull requestを開く] を選択してこのアラートを解決します。 このオプションは、アラートを無期限に無視するオプションを既に選択している場合、またはリポジトリ設定で Dependabot security updates が有効になっている場合は使用できないことに注意してください。

  5. [ルールの作成] をクリックします。

カスタム自動トリアージ ルール を Organization に追加する

組織内のすべての対象リポジトリに カスタム自動トリアージ ルール を追加することができます。 詳しくは、「組織のグローバル セキュリティ設定の構成」をご覧ください。

リポジトリの カスタム自動トリアージ ルール の編集または削除

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [Security] セクションで、[ Advanced Security] をクリックします。

  4. 「Dependabot alerts」で、「Dependabot rules」ルール付近の をクリックします。

  5. [Repository rules](ポジトリ ルール) で、編集または削除するルールの右側にある をクリックします。

  6. ルールを編集するには、該当するフィールドに変更を加え、[ルールの保存] をクリックします。

  7. ルールを削除するには、[Danger Zone] で [ルールの削除] をクリックします。

  8. [このルールを削除しますか?] ダイアログ ボックスで情報を確認し、[ルールの削除] をクリックします。

Organization の カスタム自動トリアージ ルール の編集または削除

組織内のすべての対象リポジトリの カスタム自動トリアージ ルール を編集または削除できます。 詳しくは、「組織のグローバル セキュリティ設定の構成」をご覧ください。