Dependabot クイックスタート ガイド

Dependabot を使うと、リポジトリで使っているソフトウェア依存関係に既知の脆弱性がある場合にアラートを生成できます。 このガイドは、リポジトリに対して Dependabot を有効にし、報告されるアラートの調査を始めるのに役立ちます。

この機能を使用できるユーザーについて

Dependabot alerts は、次のリポジトリで使用できます。

  • Organization 所有およびユーザー所有のリポジトリ GitHub Enterprise Server

この記事の内容

Dependabot について

このクイックスタート ガイドでは、Dependabot の設定と有効化、リポジトリに対する Dependabot alerts と更新プログラムの表示について説明します。

Dependabot は、依存関係の管理に役立つ 3 つの異なる機能で構成されています。

  • Dependabot alerts: リポジトリで使われている依存関係の脆弱性についてユーザーに通知します。
  • Dependabot security updates: 使われている依存関係のうち、既知のセキュリティ脆弱性があるものを更新するための pull request を自動的に生成します。
  • Dependabot version updates: 依存関係を最新に保つための pull request を自動的に生成します。

前提条件

GitHub Enterprise Server で Dependabot alerts 機能を使う前に、確実にエンタープライズ管理者がインスタンスに対して Dependabot を有効にする必要があります。 詳しくは、「エンタープライズ向けの Dependabot の有効化」をご覧ください。

このガイドでは、デモ リポジトリを使って、依存関係の脆弱性が Dependabot によってどのように検出されるのか、GitHub のどこで Dependabot alerts を確認できるのか、また、これらのアラートを調査、修正、または無視する方法を説明します。

まず、デモ リポジトリをフォークする必要があります。

  1. https://github.com/dependabot/demo に移動します。
  2. ページの上部の右側にある [ フォーク] をクリックします。
  3. 所有者を選び (GitHub 個人用アカウントを選ぶことができます)、リポジトリ名を入力します。 リポジトリのフォークについて詳しくは、「リポジトリをフォークする」を参照してください。
  4. [フォークの作成] をクリックします。

リポジトリに対する Dependabot の有効化

前提条件」でフォークしたリポジトリで、以下の手順に従う必要があります。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [Security] セクションで、[ Code security and analysis] をクリックします。

  4. [Code security and analysis] の Dependabot alerts の右側にある Dependabot alerts、Dependabot security updates、Dependabot version updates の [Enable] をクリックします。

  5. 必要に応じて、Dependabot version updates を試したい場合は、 .github/dependabot.yml をクリックします。 リポジトリの /.github ディレクトリに既定の dependabot.yml 構成ファイルが作成されます。 リポジトリに対して Dependabot version updates を有効にするには、通常、既定のファイルを編集し、変更をコミットすることで、ニーズに合わせてこのファイルを構成します。 例として、「Dependabot のバージョン アップデートの設定」で提供されるスニペットを参照できます。

Note

依存関係グラフがリポジトリに対してまだ有効になっていない場合は、Dependabot を有効にすると、GitHub によって自動的に有効になります。

これらの各 Dependabot 機能を構成する方法については、「Dependabot アラートの構成」、「Configuring Dependabot security updates (Dependabot セキュリティ アップデートの構成)」、「Dependabot のバージョン アップデートの設定」を参照してください。

リポジトリの Dependabot alerts の表示

リポジトリに対して Dependabot alerts が有効になっている場合は、リポジトリの [セキュリティ] タブで Dependabot alerts を表示できます。 前のセクションでフォークして Dependabot alerts を有効にしたリポジトリを使うことができます。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。

  3. セキュリティの概要の [脆弱性アラート] サイド バーで、 [Dependabot] をクリックします。 このオプションがない場合は、セキュリティ アラートにアクセスできないため、アクセス権を付与する必要があることを意味します。 詳細については、「リポジトリのセキュリティと分析設定を管理する」を参照してください。

    セキュリティの概要のスクリーンショット。[Dependabot] タブが濃いオレンジ色の枠線で強調表示されています。

  4. [Dependabot alerts] ページで未解決のアラートを確認します。 既定では、このページに、未解決のアラートが一覧表示される [未解決] タブが表示されます ( [解決済み] をクリックすると、解決済みのアラートを表示できます)。

    デモ リポジトリの Dependabot アラートのリストを示すスクリーンショット。

    さまざまなフィルターまたはラベルを使って、リスト内の Dependabot alerts をフィルター処理できます。 詳しくは、「Dependabot アラートの表示と更新」を参照してください。

  5. javascript/package-lock.json ファイルで [Command Injection in lodash] アラートをクリックします。 アラートの詳細ページに、次の情報が表示されます (情報によっては、すべてのアラートに適用されない場合があることに注意してください)。

    • Dependabot によって、脆弱性を修正する pull request が作成されたかどうか。 [セキュリティ更新プログラムの確認] をクリックして、推奨されるセキュリティ更新プログラムを確認できます。
    • 関連するパッケージ
    • 影響を受けるバージョン
    • 修正プログラムが適用されたバージョン
    • 脆弱性の簡単な説明

    デモ リポジトリのアラートの詳細ページに主な情報が表示されているスクリーンショット。

  6. 必要に応じて、ページの右側にある情報を調べることもできます。 スクリーンショットに示されている情報の一部は、すべてのアラートに適用されない場合があります。

    • 重要度
    • CVSS metrics: CVSS レベルを使って重大度レベルを割り当てています。 詳しくは、「GitHub Advisory Database について」をご覧ください。
    • タグ
    • Weaknesses: 脆弱性に関連する CWE の一覧 (該当する場合)
    • CVE ID: 脆弱性の一意の CVE 識別子 (該当する場合)
    • GHSA ID: GitHub Advisory Database 上の対応するアドバイザリの一意識別子。 詳しくは、「GitHub Advisory Database について」をご覧ください。
    • GitHub Advisory Database 上のアドバイザリに移動するオプション
    • この脆弱性の影響を受けるすべてのリポジトリを表示するオプション
    • GitHub Advisory Database 上のこのアドバイザリの改善を提案するオプション

    デモ リポジトリのアラートの詳細ページで、ページの右側に情報が表示されているスクリーンショット。

Dependabot alerts の表示、優先順位付け、並べ替えについて詳しくは、「Dependabot アラートの表示と更新」を参照してください。

Dependabot アラートの修正または無視

GitHub で Dependabot alerts を修正または無視できます。 引き続き、例としてフォークしたリポジトリと前のセクションで説明した "Command Injection in lodash" アラートを使いましょう。

  1. リポジトリの [Dependabot alerts] タブに移動します。 詳しくは、前述の「リポジトリの Dependabot alerts の表示」セクションを参照してください。
  2. アラートをクリックします。
  3. javascript/package-lock.json ファイルで [Command Injection in lodash] アラートをクリックします。
  4. アラートを確認します。 次のようにすることができます。

    • 推奨されるセキュリティ更新プログラムを確認するには、 [セキュリティ更新プログラムの確認] をクリックします。 Dependabot によって生成されたセキュリティ修正プログラムの pull request が開きます。

      選んだアラートによって強調表示されたセキュリティの脆弱性を修正するために、Dependabot によって生成された pull request のスクリーンショット。

      • pull request の説明で、 [コミット] をクリックして、pull request に含まれるコミットを調べることができます。
      • また、 [Dependabot のコマンドとオプション] をクリックして、pull request の操作に使うことができるコマンドについて確認できます。
      • 依存関係を更新して脆弱性を解決する準備ができたら、プルリクエストをマージしてください。

    • アラートを無視する場合

      • アラートの詳細ページに戻ります。

      • 右上隅にある [アラートを無視] をクリックします。

        アラートの詳細ページに [アラートを無視] ボタンとドロップダウン メニュー オプションが表示され、[無視のコメント] ボックスが濃いオレンジ色のアウトラインで強調表示されているスクリーンショット。

      • アラートを無視する理由を選びます。

      • 必要に応じて、無視のコメントを追加します。 無視のコメントはアラート タイムラインに追加され、監査と報告の間に正当な理由として使用できます。

      • [アラートを無視] をクリックします。 このアラートは、アラート リストの [未解決] タブに表示されなくなり、 [解決済み] タブで確認できます。

Dependabot alerts の確認と更新について詳しくは、「Dependabot アラートの表示と更新」を参照してください。

トラブルシューティング

次の場合、トラブルシューティングが必要になることがあります。

  • Dependabot によって、アラートを修正するための pull request の作成がブロックされている、または
  • Dependabot から報告される情報が、期待する内容でない。

詳しくは、「Troubleshooting Dependabot errors」と「Troubleshooting the detection of vulnerable dependencies」をそれぞれ参照してください。

次のステップ

Dependabot 更新の構成について詳しくは、「Configuring Dependabot security updates (Dependabot セキュリティ アップデートの構成)」と「Dependabot のバージョン アップデートの設定」を参照してください。

Organization の Dependabot の構成について詳しくは、「Dependabot アラートの構成」を参照してください。

Dependabot によって開かれた pull request を表示する方法については、「依存関係の更新に関するPull Requestを管理する」を参照してください。

Dependabot alerts に役立つセキュリティ アドバイザリの詳細については、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」を参照してください。

Dependabot alerts に関する通知を構成する方法にについては、「Dependabot アラートの通知を構成する」を参照してください。