依存関係グラフを設定する

依存関係グラフについて

依存関係グラフは、リポジトリに格納されているマニフェストおよびロック ファイルと、Dependency submission API (ベータ) を使用してリポジトリに送信された依存関係の概要です。 それぞれのリポジトリについて、以下が表示されます:

• リポジトリが依存している依存関係、エコシステム、パッケージ
• リポジトリに依存する対象、リポジトリ、パッケージ

詳しくは、「依存関係グラフについて」を参照してください。

依存関係グラフの構成について

依存関係グラフを生成するには、GitHub Enterprise Cloud がリポジトリの依存関係のマニフェストとロックファイルに読み取りアクセスできる必要があります。 依存関係グラフは、パブリックリポジトリに対しては常に自動的に生成され、プライベートリポジトリに対しては有効化を選択することができます。 依存関係グラフの表示について詳しくは、「リポジトリの依存関係を調べる」をご覧ください。

さらに、依存関係送信 API (ベータ) を使うと、マニフェストやロック ファイルの分析で依存関係グラフがサポートされていないエコシステムであっても、任意のパッケージ マネージャーやエコシステムから依存関係を送信することができます。 依存関係グラフには、送信された依存関係がエコシステム別にグループ化されて表示されますが、マニフェストまたはロック ファイルから解析された依存関係とは別に表示されます。 依存関係申請 API の詳細については、「Dependency Submission API を使用する」を参照してください。

の有効化

プライベートリポジトリの依存関係グラフを有効化および無効化する

リポジトリ管理者は、プライベートリポジトリに対して依存関係グラフを有効または無効にすることができます。

ユーザアカウントまたは Organization が所有するすべてのリポジトリの依存関係グラフを有効または無効にすることもできます。 詳しくは、「依存関係グラフを設定する」を参照してください。

1. GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下にある [設定] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

   

2. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

3. リポジトリ データへの読み取りアクセスを GitHub Enterprise Cloud に許可して依存関係グラフを有効にすることに関するメッセージを読んだうえで、[依存関係グラフ] の隣にある [有効] をクリックします。

   

   [コードのセキュリティと分析] の設定ページで、[依存関係グラフ] の横にある [無効] をクリックすることで、いつでも依存関係グラフを無効にできます。

Enterprise 所有者がエンタープライズ レベルでポリシーを設定している場合、依存関係グラフを有効または無効にできない場合があります。 詳しくは、「エンタープライズのコード セキュリティと分析のためのポリシーの適用」を参照してください。

依存関係グラフを初めて有効化すると、サポートされているエコシステムのマニフェストおよびロックファイルがすぐに解析されます。 グラフは通常数分以内に入力されますが、多くの依存関係を持つリポジトリの場合は時間がかかる場合があります。 有効にすると、リポジトリにプッシュするたびに、またグラフ中の他のリポジトリにプッシュするたびに、グラフが自動的に更新されます。

参考資料

• 「Organization のインサイトを表示する」
• Dependabot アラートの表示と更新
• 脆弱性のある依存関係の検出のトラブルシューティング