依存関係グラフについて
依存関係グラフは、リポジトリに格納されているマニフェストおよびロック ファイル、および 依存関係送信 API を使用してリポジトリに送信された依存関係の概要です。 それぞれのリポジトリについて、以下が表示されます:の依存関係、すなわちリポジトリが依存するエコシステムとパッケージ。
依存関係ごとに、 脆弱性の重大度を確認できます。 検索バーを使用して、特定の依存関係を検索することもできます。 依存関係は、脆弱性の重大度によって自動的に並べ替えられます。
GitHub Enterprise Server を使っても、依存関係のライセンス情報は取得されず、依存関係に関する情報、リポジトリに依存するリポジトリとパッケージは計算されません。 詳しくは、「依存関係グラフについて」を参照してください
依存関係グラフを有効にすると、ユーザーは依存関係レビュー機能にアクセスできるようになります。 依存関係レビューを使うと、すべてのPull Reqeustにおける以下の変更による依存関係の変化とセキュリティについての影響を理解しやすくなります。 詳細については、「依存関係の確認について」を参照してください。
エンタープライズに対して依存関係グラフを有効にすると、Dependabot を有効にして、リポジトリ内の安全でない依存関係を検出し、その脆弱性を自動的に修正することができます。 詳しくは、「エンタープライズ向けの Dependabot の有効化」を参照してください。
[Management Console] または管理シェルを使用して、依存関係グラフを有効にすることができます。 インスタンスでクラスタリングを使用しない限り、[Management Console] を使用することをお勧めします。
[Management Console] を使用した依存関係グラフの有効化
インスタンスでクラスタリングを使っている場合、[Management Console] では依存関係グラフを有効にすることができず、代わりに管理シェルを使わなくてはいけません。 詳細については、「Enabling the dependency graph via the administrative shell」 (管理シェルを使用した依存関係グラフの有効化) を参照してください。
-
http(s)://HOSTNAME/login
で お使いの GitHub Enterprise Server インスタンス にサインインします。 -
GitHub Enterprise Server の管理アカウントから、任意のページの右上隅で をクリックします。
-
[サイト管理者] ページにまだ表示されていない場合は、左上隅の [サイト管理者] をクリックします。
-
[ サイト管理者] サイドバーで [Management Console] をクリックします。
-
[設定] サイドバーで [セキュリティ] をクリックします。
-
[セキュリティ] で [依存関係グラフ] を選択します。
-
[設定] サイドバーで [設定の保存] をクリックします。
注: [Management Console] に設定を保存すると、システム サービスが再起動され、ユーザーに表示されるダウンタイムが発生する可能性があります。
-
設定の実行が完了するのを待ってください。
-
[Visit your instance](インスタンスにアクセスする) をクリックします。
管理シェルを使用した依存関係グラフの有効化
-
http(s)://HOSTNAME/login
で お使いの GitHub Enterprise Server インスタンス にサインインします。 -
管理シェルで、依存関係グラフを有効化します。
ghe-config app.dependency-graph.enabled true
注: SSH 経由で管理シェルへのアクセスを有効にする方法について詳しくは、「管理シェル (SSH) にアクセスする」を参照してください。
-
構成を適用します。
ghe-config-apply
-
GitHub Enterprise Serverに戻ります。