Skip to main content

アプライアンスの依存関係レビューを構成する

pull request をレビューするときにユーザーが依存関係の変化を理解できるように、お使いの GitHub Enterprise Server インスタンス の依存関係レビューを有効または無効にしたり、構成したりできます。

この機能を使用できるユーザーについて

依存関係の確認は、GitHub Enterprise Server 内にある Organization 所有のリポジトリで利用できます。 この機能には、GitHub Advanced Security のライセンスが必要です。 詳しくは、「GitHub Advanced Security について」を参照してください。

依存関係の確認について

依存関係レビューを使うと、すべてのPull Reqeustにおける以下の変更による依存関係の変化とセキュリティについての影響を理解しやすくなります。pull request の [Files Changed](変更されたファイル) タブ上のリッチ diff で依存関係の変更をわかりやすく視覚化できます。 依存関係レビューは、以下のことを知らせます:

  • リリース日と合わせて、追加、削除、更新された依存関係。
  • これらのコンポーネントを使うプロジェクトの数。
  • これらの依存関係に関する脆弱性のデータ。

ライセンス チェック、pull request のブロック、CI/CD インテグレーションなどの一部の追加機能は、依存関係レビュー アクションを行うと利用できます。

ライセンスに GitHub Advanced Security が含まれているかどうかを確認する

エンタープライズ設定を確認することで、エンタープライズに GitHub Advanced Security ライセンスがあるかどうかを確認できます。 詳しくは、「自社で GitHub Advanced Security を有効にする」を参照してください。

依存関係レビューの前提条件

依存関係レビューを有効および無効にする

依存関係レビューを有効または無効にするには、インスタンスに対して依存関係グラフを有効または無効にする必要があります。

詳しくは、「企業の依存関係グラフの有効化」を参照してください。

GitHub Actions を使って依存関係レビューを実行する

: 現在、依存関係レビュー アクション はパブリック ベータ段階であり、変更される可能性があります。

依存関係レビュー アクションは、GitHub Enterprise Server のインストールに含まれています。 これは、GitHub Advanced Security と依存関係グラフが有効になっているすべてのリポジトリで使うことができます。

依存関係レビュー アクション では、pull request で依存関係の変更をスキャンし、新しい依存関係に既知の脆弱性がある場合にエラーを発生させます。 このアクションは、2 つのリビジョン間の依存関係を比較し、相違点を報告する API エンドポイントによってサポートされます。

アクションと API エンドポイントについて詳しくは、dependency-review-action のドキュメントと、「依存関係レビュー用の REST API エンドポイント」をご覧ください。

ユーザーは、GitHub Actions ワークフローを使って、依存関係レビュー アクションを実行します。 GitHub Actions のランナーをまだセットアップしていない場合、ユーザーを有効にしてワークフローを実行するには、これを行う必要があります。 セルフホストランナーは、リポジトリ、Organization、または Enterprise アカウントレベルでプロビジョニングできます。 詳細については、「セルフホステッド ランナーの概要」と「自己ホストランナーの追加」を参照してください。