リポジトリのDependabotアラートタブには、オープン及びクローズされたすべてのDependabotアラートがリストされます。 アラートのリストはソートでき、特定のアラートをクリックして詳細を見ていくことができます。 アラートを却下したり再オープンしたりもできます。 詳しい情� �については、「Dependabotアラート について」を参照してく� さい。
Dependabotアラートの表示
- GitHub Enterprise Serverインスタンスで、リポジトリのメインページにアクセスしてく� さい。
- リポジトリ名の下で Security(セキュリティ)をクリックしてく� さい。
- セキュリティサイドバーで、Dependabotアラートをクリックしてく� さい。 If this option is missing, it means you don't have access to security alerts and need to be given access. For more information, see "Managing security and analysis settings for your repository."
- 表示したいアラートをクリックします。
アラートのレビューと修正
すべての依存関係がセキュリティの弱点を確実に持たないようにすることが重要です。 Dependabotが脆弱性を依存関係に見つけた� �合、プロジェクトの露出のレベルを評価し、アプリケーションをセキュアにするための修復ステップを決定しなければなりません。
依存関係のパッチされたバージョンが利用できるなら、Dependabot Pull Requestを生成し、Dependabotアラートから直接その依存関係を更新できます。 Dependabotセキュリティアップデートを有効にしているなら、Pull RequestはDependabotアラートとリンクされるかもしれません。
パッチが適用されたバージョンが利用できない� �合、あるいはセキュアなバージョンへ更新できない� �合、Dependabotは次のステップを判断するための役に立つ追� 情� �を共有します。 Dependabotアラートを見るためにクリックしていくと、影響される関数を含む依存関係に対するセキュリティアドバイザリの完全な詳細を見ることができます。 そして、自分のコードが影響を受けた関数を呼び出しているかをチェックできます。 この情� �は、リスクレベルをさらに評価し、回避策を決めたり、あるいはそのセキュリティアドバイザリが示すリスクを受け入れることができるかどうかを決めるための役に立ちます。
脆弱性のある依存関係の修復
-
アラートの詳細を表示させます。 詳しい情� �については上の「Dependabotアラートの表示」を参照してく� さい。
-
ページ上のこの情� �を使って、アップグレードすべき依存関係のバージョンを判断し、セキュアなバージョンへのマニフェストもしくはロックファイルへのPull Requestを作成できます。
-
依存関係を更新して脆弱性を解決する準備ができたら、プルリクエストをマージしてく� さい。
Dependabotアラートの却下
参考: 却下できるのはオープンなアラートのみです。
依存関係のアップグレードのための広汎な作業をスケジュールしていたり、アラートを修正する必要はないと判断したりした� �合、アラートを却下できます。 すでに評価済みのアラートを却下すると、新しいアラートが現れたときにトリアージしやすくなります。
- アラートの詳細を表示させます。 詳しい情� �については上の「脆弱性のある依存関係の表示」を参照してく� さい。
- "Dismiss(却下)"ドロップダウンを選択し、アラートを却下する理由をクリックしてく� さい。