脆弱性のある依存関係の通知について
Dependabotがリポジトリ中に脆弱性のある依存関係を検出すると、Dependabotアラートが生成され、そのリポジトリのセキュリティタブに表示されます。 GitHub Enterprise Serverは、影響を受けるリポジトリのメンテナに、リポジトリの通知設定に従って新しいアラートに関する通知を行います。
デフォルトでは、EnterpriseのオーナーがEnterpriseにおいて通知のためのメールを設定していれば、あなたはメールでDependabotアラートを受け取ることになります。
Enterpriseオーナーは、通知なしでDependabotアラートを有効化することもできます。 詳しい情報については「EnterpriseでのDependabotの有効化」を参照してください。
Dependabotアラートの通知設定
各ページの上部に表示される [Manage notifications] ドロップダウン から、自分または Organization の通知設定を構成できます。 詳しい情報については、「通知を設定する」を参照してください。
You can choose the delivery method for notifications, as well as the frequency at which the notifications are sent to you.
デフォルトでは、サイト管理者がインスタンスに関する通知のメールを設定すると、 Dependabotアラートを受信することになります:
- メールの場合、メールは重要度が重大あるいは高の脆弱性が見つかるたびに送信されます(Email each time a vulnerability is found(脆弱性が見つかるたびにメール)オプション)
- ユーザインターフェースでは、脆弱な依存関係がある場合にリポジトリのファイル及びコードビューに警告が表示されます(UI alerts(UIアラート)オプション)
- コマンドラインでは、脆弱性のある依存関係を伴うプッシュをリポジトリに対して行った場合に、コールバックとして警告が表示されます(Command Line(コマンドライン)オプション)
- インボックスには、重要度が重大もしくは高の新しい脆弱性に対してWeb通知が表示されます(Webオプション) 通知を
Dependabotアラートについて受ける方法は、カスタマイズできます。 たとえば、Email a digest summary of vulnerabilities(脆弱性のダイジェストサマリーメール)及びWeekly security email digest(週間のセキュリティメールダイジェスト)オプションを使って、最大10件のリポジトリに関するアラートをまとめた週間のダイジェストメールを受信できます。
ノート: GitHubの通知をフィルタしてDependabotアラートを表示できます。 詳しい情報については「インボックスからの通知を管理する」を参照してください。
Email notifications for Dependabotアラート that affect one or more repositories include the X-GitHub-Severity header field. You can use the value of the X-GitHub-Severity header field to filter email notifications for Dependabotアラート. 詳しい情報については、「通知を設定する」を参照してください。
脆弱性のある依存関係の通知を減らす方法
Dependabotアラートの通知をあまりに多く受け取ることが心配なら、週次のメールダイジェストにオプトインするか、Dependabotアラートを有効化したままで通知をオフにすることをおすすめします。 その場合でも、リポジトリのセキュリティタブでDependabotアラートを確認することはできます。 詳しい情報については「脆弱性のある依存関係に対するDependabotアラートの表示」を参照してください。