脆弱性のある依存関係の通知について
Dependabot がリポジトリ内にある脆弱性のある依存関係を検出すると、Dependabot アラートを生成し、リポジトリの [Security] タブに表示します。 GitHub Enterprise Server は、影響を受けるリポジトリのメンテナに、通知設定に従って新しいアラートについて通知します。
By default, if your site administrator has configured email for notifications on your enterprise, you will receive Dependabotアラート by email.
サイト管理者は、通知なしで Dependabotアラート を有効にすることもできます。 詳細については、「GitHub Enterprise Server への脆弱性のある依存関係に対する Dependabotアラート の有効化」を参照してください。
Dependabotアラートの通知を設定する
各ページの上部に表示される [Manage notifications] ドロップダウン から、自分または Organization の通知設定を構成できます。 詳しい情報については、「通知を設定する」を参照してください。
Watchしているリポジトリ上の Dependabotアラートに関する通知の配信方法を、通知が送信される頻度と共に選択できます。
デフォルトでは、サイト管理者がインスタンスに関する通知のメールを設定すると、 Dependabotアラートを受信することになります:
- メールの場合、メールは脆弱性が見つかるたびに送信されます(Email each time a vulnerability is found(脆弱性が見つかるたびにメール)オプション)
- ユーザインターフェースでは、脆弱な依存関係がある場合にリポジトリのファイル及びコードビューに警告が表示されます(UI alerts(UIアラート)オプション)
- コマンドラインでは、脆弱性のある依存関係を伴うプッシュをリポジトリに対して行った場合に、コールバックとして警告が表示されます(Command Line(コマンドライン)オプション)
- インボックスには、Web通知が表示されます(Webオプション) 通知を
Dependabotアラートについて受ける方法は、カスタマイズできます。 たとえば、Email a digest summary of vulnerabilities(脆弱性のダイジェストサマリーメール)及びWeekly security email digest(週間のセキュリティメールダイジェスト)オプションを使って、最大10件のリポジトリに関するアラートをまとめた週間のダイジェストメールを受信できます。
注釈: GitHub で通知をフィルタして、Dependabotアラートを表示できます。 詳しい情報については「インボックスからの通知の管理」を参照してください。
X-GitHub-Severity
ヘッダフィールドを含む、1つ以上のリポジトリに影響するDependabotアラートに対するメール通知。 X-GitHub-Severity
ヘッダフィールドは、Dependabotアラートに対するメール通知のフィルタリングに利用できます。 詳しい情報については、「通知を設定する」を参照してください。
脆弱性のある依存関係の通知を減らす方法
Dependabotアラートの通知が多すぎる場合は、毎週のメールダイジェストを選択するか、Dependabotアラートを有効にしたまま通知をオフにすることをお勧めします。 その場合でも、リポジトリの [Security] タブでDependabotアラートを確認することはできます。