Configuring Dependabot security updates (Dependabot セキュリティ アップデートの構成)

この記事の内容

Dependabot security updates または手動のプルリクエストを使用して、脆弱性のある依存関係を簡単に更新できます。

Dependabot security updates の設定について

Dependabot alerts と依存関係グラフを使用する任意のリポジトリで Dependabot security updates を有効にすることができます。 詳しくは、「Dependabot のセキュリティ アップデート」を参照してください。

個々のリポジトリ、組織内の一部のリポジトリ、または個人アカウントや組織が所有するすべてのリポジトリについて、Dependabot security updates を有効または無効にできます。 組織でセキュリティ機能を有効にする方法について詳しくは、「組織のセキュリティ保護」をご覧ください。

注: Dependabot security updates がリポジトリに対して有効になっている場合、Dependabot は、使用可能なパッチを持つすべての開いている Dependabot アラートを解決するために pull request を自動的に開こうとします。 どのアラートに対して Dependabot が pull request を開くかカスタマイズする場合は、Dependabot security updates を [無効] のままにし、アラート ルールを作成する必要があります。 詳しくは、「Customizing auto-triage rules to prioritize Dependabot alerts」を参照してください。

Dependabot とすべての関連する機能は、使用許諾契約でカバーされています。 詳細については、「GitHub Enterprise Customer Terms」を参照してください。

サポートされているリポジトリ

個人アカウントまたは組織で Dependabot security updates の [新しいリポジトリに対して自動的に有効する] が有効になっている場合、新しく作成されたリポジトリの Dependabot security updates が、GitHub によって、自動的に有効になります。 詳しくは、「リポジトリの Dependabot security updates の管理」を参照してください。

セキュリティ更新が有効になっているリポジトリのフォークを作成すると、GitHub によってフォークの Dependabot security updates が自動的に無効になります。 その後、特定のフォークで Dependabot security updates を有効にするかどうかを決定できます。

リポジトリでセキュリティアップデートが有効になっておらず、理由が不明の場合は、まず以下の手順のセクションに記載されている指示に従って有効にしてみてください。 セキュリティ更新プログラムがまだ機能していない場合は、GitHub サポート に問い合わせてください。

リポジトリの Dependabot security updates を管理する

個人アカウントまたは組織が所有するすべての対象のリポジトリの Dependabot security updates を有効または無効にすることができます。 詳細については、「個人アカウントのセキュリティと分析設定を管理する」または「組織のセキュリティおよび分析設定を管理する」を参照してください。

個別のリポジトリに対して Dependabot security updates を有効または無効にすることもできます。

個別のリポジトリに対して Dependabot security updates を有効または無効にする

  1. GitHub.com で、リポジトリのメイン ページへ移動します。

  2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

  4. [コードのセキュリティと分析] の [Dependabot セキュリティ更新プログラム] の右側にある [有効] または [無効] をクリックして、機能を有効または無効にします。 パブリック リポジトリの場合、機能が常に有効になっていると、このボタンは無効になります。

構成ファイルを使用した既定の動作のオーバーライド

リポジトリに dependabot.yml ファイルを追加することで、Dependabot security updates の既定の動作をオーバーライドできます。 詳しくは、「dependabot.yml ファイルの構成オプション」を参照してください。

セキュリティ更新プログラムのみを必要とし、バージョン更新プログラムを除外する場合は、特定の package-ecosystem のバージョン更新プログラムを防ぐために open-pull-requests-limit0 に設定できます。 詳しくは、「dependabot.yml ファイルの構成オプション」を参照してください。

# Example configuration file that:
#  - Has a private registry
#  - Ignores lodash dependency
#  - Disables version-updates

version: 2
registries:
  example:
    type: npm-registry
    url: https://example.com
    token: ${{secrets.NPM_TOKEN}}
updates:
  - package-ecosystem: "npm"
    directory: "/src/npm-project"
    schedule:
      interval: "daily"
    ignore:
      - dependency-name: "lodash"
        # For Lodash, ignore all updates
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0
    registries:
      - example

注記: Dependabot でセキュリティ更新プログラムにこの構成を使用するには、 directoryは マニフェスト ファイルへのパスの必要があり、target-branchを指定しないでください。

セキュリティ更新プログラムで使用可能な構成オプションについて詳しくは、「dependabot.yml ファイルの構成オプション」をご覧ください。

参考資料