Dependabot security updates の設定について
リポジトリ レベル、または個人アカウントまたは Organization が所有するすべてのリポジトリに対して Dependabot security updates を有効にすることができます。 Dependabot alerts と依存関係グラフを使用する任意のリポジトリで Dependabot security updates を有効にすることができます。 詳しくは、「Dependabot のセキュリティ アップデート」を参照してください。
個々のリポジトリ、または個人アカウントまたは組織が所有するすべてのリポジトリに対して Dependabot security updates を無効にすることができます。
Dependabot とすべての関連する機能は、使用許諾契約でカバーされています。 詳細については、「GitHub Enterprise Customer Terms」を参照してください。
サポートされているリポジトリ
個人アカウントまたは Organization で Dependabot security updates の [新しいリポジトリに対して自動的に有効する] が有効になっている場合、新しく作成されたリポジトリの Dependabot security updates が、GitHub によって、自動的に有効になります。 詳しくは、「リポジトリの Dependabot security updates の管理」を参照してください。
セキュリティ更新が有効になっているリポジトリのフォークを作成すると、GitHub によってフォークの Dependabot security updates が自動的に無効になります。 その後、特定のフォークで Dependabot security updates を有効にするかどうかを決定できます。
リポジトリでセキュリティアップデートが有効になっておらず、理由が不明の場合は、まず以下の手順のセクションに記載されている指示に従って有効にしてみてください。 セキュリティ更新プログラムがまだ機能していない場合は、GitHub Support に問い合わせてください。
リポジトリの Dependabot security updates を管理する
個人アカウントまたは Organization が所有するすべての対象のリポジトリの Dependabot security updates を有効または無効にすることができます。 詳細については、「個人アカウントのセキュリティと分析設定を管理する」または「Organization のセキュリティおよび分析設定を管理する」を参照してください。
個別のリポジトリに対して Dependabot security updates を有効または無効にすることもできます。
個別のリポジトリに対して Dependabot security updates を有効または無効にする
-
GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下にある [設定] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-60526/images/help/repository/repo-actions-settings.png)
-
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
-
[コードのセキュリティと分析] の [Dependabot セキュリティ更新プログラム] の右側にある [有効] または [無効] をクリックして、機能を有効または無効にします。 パブリック リポジトリの場合、この機能が常に有効になっていると、ボタンは無効になります。
![[コードのセキュリティと解析] セクションと Dependabot security updates を有効にするボタンのスクリーンショット](/assets/cb-112768/images/help/repository/security-and-analysis-disable-or-enable-fpt-private.png)
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-60526/mw-1000/images/help/repository/repo-actions-settings.webp)
![[コードのセキュリティと解析] セクションと Dependabot security updates を有効にするボタンのスクリーンショット](/assets/cb-112768/mw-1000/images/help/repository/security-and-analysis-disable-or-enable-fpt-private.webp)
構成ファイルを使用した既定の動作のオーバーライド
リポジトリに dependabot.yml ファイルを追加することで、Dependabot security updates の既定の動作をオーバーライドできます。 詳しくは、「dependabot.yml ファイルの構成オプション」を参照してください。
セキュリティ更新プログラムのみを必要とし、バージョン更新プログラムを除外する場合は、特定の package-ecosystem のバージョン更新プログラムを防ぐために open-pull-requests-limit を 0 に設定できます。 詳しくは、「dependabot.yml ファイルの構成オプション」を参照してください。
# Example configuration file that:
# - Ignores lodash dependency
# - Disables version-updates
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "daily"
ignore:
- dependency-name: "lodash"
# For Lodash, ignore all updates
# Disable version updates for npm dependencies
open-pull-requests-limit: 0
セキュリティ更新プログラムで使用可能な構成オプションについて詳しくは、「dependabot.yml ファイルの構成オプション」をご覧ください。