Skip to main content
ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

依存関係のレビューについて

依存関係のレビューは、脆弱性のある依存関係を自分の環境に持ち込んでしまう前に捉え、ライセンス、依存物、依存関係の期間に関する情報を提供します。

依存関係レビューは、パブリックリポジトリに対してGitHub Enterprise Cloudに含まれています。 To use dependency review in private repositories owned by organizations, you must have a license for GitHub Advanced Security. 詳しい情報については、「GitHub Advanced Security について」を参照してください。

依存関係のレビューについて

依存関係レビューを使うと、すべてのPull Reqeustにおける以下の変更による依存関係の変化とセキュリティについての影響を理解しやすくなります。 Pull Requestの"Files Changed(変更されたファイル)"タブ上のリッチdiffで、依存関係の変化を理解しやすく可視化します。 依存関係レビューは、以下のことを知らせます:

  • リリース日と合わせて、追加、削除、更新された依存関係。
  • これらのコンポーネントを使うプロジェクトの数。
  • これらの依存関係に関する脆弱性のデータ。

プルリクエストがリポジトリのデフォルトブランチを対象とし、パッケージマニフェストまたはロックファイルへの変更が含まれている場合は、依存関係のレビューを表示して、何が変更されたかを確認できます。 依存関係のレビューには、ロックファイル内の間接的な依存関係への変更の詳細が含まれ、追加または更新された依存関係のいずれかに既知の脆弱性が含まれているかどうかが示されます。

時に、マニフェスト内の 1 つの依存関係のバージョンを更新して、プルリクエストを生成することがあります。 ただし、この直接依存関係の更新バージョンでも依存関係が更新されている場合は、プルリクエストに予想よりも多くの変更が加えられている可能性があります。 各マニフェストとロックファイルの依存関係のレビューにより、何が変更されたか、新しい依存関係バージョンのいずれかに既知の脆弱性が含まれているかどうかを簡単に確認できます。

プルリクエストで依存関係のレビューを確認し、脆弱性としてフラグが付けられている依存関係を変更することで、プロジェクトに脆弱性が追加されるのを防ぐことができます。 依存関係のレビューの動作に関する詳しい情報については「Pull Request中の依存関係の変更のレビュー」を参照してください。

依存関係レビューの設定に関する詳しい情報については「依存関係レビューの設定」を参照してください。

Dependabotアラート は、すでに依存関係にある脆弱性を検出しますが、あとで修正するよりも、潜在的な問題が持ち込まれることを回避する方がはるかに良いです。 Dependabotアラートに関する詳しい情報については「Dependabotアラートについて」を参照してください。

依存関係のレビューは、依存関係グラフと同じ言語とパッケージ管理エコシステムをサポートしています。 詳しい情報については、「依存関係グラフについて」を参照してください。

GitHub Enterprise Cloudで利用できるサプライチェーンの機能に関する詳しい情報については「サプライチェーンのセキュリティについて」を参照してください。

依存関係レビューの有効化

依存関係レビューの機能は、依存関係グラフを有効化すると利用できるようになります。 詳しい情報については「依存関係グラフの有効化」を参照してください。

依存関係レビューの施行

Note: The Dependency Review GitHub Action is currently in public beta and subject to change.

Dependency Review GitHub Actionをリポジトリで使って、Pull Requestに対する依存関係レビューを施行できます。 このアクションは、Pull Request中のパッケージバージョンの変更によってもたらされる依存関係の脆弱なバージョンをスキャンし、関連するセキュリティ脆弱性について警告してくれます。 これによって、Pull Requestで何が変更されるかが見えやすくなり、リポジトリに脆弱性が追加されることを避けやすくなります。 詳しい情報についてはdependency-review-actionを参照してください。

依存関係レビューアクションの例

Dependency Review GitHub Actionのチェックは、脆弱性のあるパッケージを見つけると失敗しますが、リポジトリのオーナーがマージの前にチェックをパスすることを必須としている場合にのみ、そのPull Requestがマージされるのをブロックします。 詳しい情報については、「保護されたブランチについて」を参照してください。

このアクションはDependency Review REST APIを使ってベースコミットとheadコミット間の依存関係の変化のdiffを取得します。 Dependency Review API を使って、リポジトリでの任意の2つのコミット間の脆弱性のデータを含む依存関係の変化のdiffを取ることができます。 詳しい情報については「依存関係レビュー」を参照してください。