Skip to main content

Configuring Dependabot security updates (Dependabot セキュリティ アップデートの構成)

Dependabot security updates または手動のプルリクエストを使用して、脆弱性のある依存関係を簡単に更新できます。

注: この機能を使用するには、サイト管理者が お使いの GitHub Enterprise Server インスタンスの Dependabot updatesを設定する必要があります。 詳しくは、「エンタープライズ向けの Dependabot の有効化」を参照してください。

Enterprise 所有者が Enterprise レベルでポリシーを設定している場合、Dependabot updatesを有効または無効にできない場合があります。 詳しくは、「エンタープライズのコード セキュリティと分析のためのポリシーの適用」をご覧ください。

Dependabot security updates の設定について

Dependabot alerts と依存関係グラフを使用する任意のリポジトリで Dependabot security updates を有効にすることができます。 詳しくは、「Dependabot のセキュリティ アップデート」を参照してください。

個々のリポジトリ、Organization 内の一部のリポジトリ、または個人アカウントやOrganization が所有するすべてのリポジトリについて、Dependabot security updates を有効または無効にできます。 Organization でセキュリティ機能を有効にする方法について詳しくは、「組織を保護するためのクイック スタート」をご覧ください。

サポートされているリポジトリ

個人アカウントまたは Organization で Dependabot security updates の [新しいリポジトリに対して自動的に有効する] が有効になっている場合、新しく作成されたリポジトリの Dependabot security updates が、GitHub によって、自動的に有効になります。 詳しくは、「リポジトリの Dependabot security updates の管理」を参照してください。

セキュリティ更新が有効になっているリポジトリのフォークを作成すると、GitHub によってフォークの Dependabot security updates が自動的に無効になります。 その後、特定のフォークで Dependabot security updates を有効にするかどうかを決定できます。

リポジトリでセキュリティアップデートが有効になっておらず、理由が不明の場合は、まず以下の手順のセクションに記載されている指示に従って有効にしてみてください。 セキュリティ更新プログラムがまだ機能していない場合は、サイト管理者 に問い合わせてください。

リポジトリの Dependabot security updates を管理する

個人アカウントまたは Organization が所有するすべての対象のリポジトリの Dependabot security updates を有効または無効にすることができます。 詳細については、「個人アカウントのセキュリティと分析設定を管理する」または「組織のセキュリティおよび分析設定を管理する」を参照してください。

個別のリポジトリに対して Dependabot security updates を有効または無効にすることもできます。

個別のリポジトリに対して Dependabot security updates を有効または無効にする

  1. お使いの GitHub Enterprise Server インスタンス で、リポジトリのメイン ページへ移動します。

  2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

  4. [コードのセキュリティと分析] の [Dependabot セキュリティ更新プログラム] の右側にある [有効] または [無効] をクリックして、機能を有効または無効にします。

構成ファイルを使用した既定の動作のオーバーライド

リポジトリに dependabot.yml ファイルを追加することで、Dependabot security updates の既定の動作をオーバーライドできます。

セキュリティ アップデートのみを必要とし、_バージョン_更新を除外する場合は、特定の package-ecosystem のバージョン更新を防ぐために open-pull-requests-limit0 に設定できます。

セキュリティ アップデートに対して使用できる構成オプションについて詳しくは、「dependabot.yml ファイルの構成オプション」をご覧ください。

# Example configuration file that:
#  - Has a private registry
#  - Ignores lodash dependency
#  - Disables version-updates

version: 2
registries:
  example:
    type: npm-registry
    url: https://example.com
    token: ${{secrets.NPM_TOKEN}}
updates:
  - package-ecosystem: "npm"
    directory: "/src/npm-project"
    schedule:
      interval: "daily"
    # For Lodash, ignore all updates
    ignore:
      - dependency-name: "lodash"
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0
    registries:
      - example
  

注記: Dependabot でセキュリティ更新プログラムにこの構成を使用するには、 directoryは マニフェスト ファイルへのパスの必要があり、target-branchを指定しないでください。

参考資料