Skip to main content

組織全体で依存関係レビューを実施する

依存関係レビューにより、セキュリティで保護されていない依存関係を環境に導入する前に検出します。 組織全体で 依存関係レビュー アクション の使用を実施できます。

この機能を使用できるユーザーについて

管理者 ロールを持つ組織の所有者、セキュリティ マネージャー、および組織メンバー

依存関係レビューの適用について

Enterprise 所有者とリポジトリへの管理者アクセス権を持つユーザーは、それぞれ Enterprise とリポジトリに 依存関係レビュー アクション を追加できます。

"依存関係レビュー アクション" とは、GitHub Actions コンテキスト内の pull request の差異を報告できる特定のアクションです。 以下を参照してください。dependency-review-action リポジトリで 依存関係レビュー アクション を使って、pull request に依存関係レビューを適用できます。 このアクションは、pull request のパッケージ バージョンの変更によって発生した依存関係の脆弱なバージョンをスキャンし、関連するセキュリティの脆弱性について警告します。 これにより、pull request で何が変更されているかをより正確に把握でき、リポジトリに脆弱性が追加されるのを防ぐことができます。 詳細については、「依存関係の確認について」を参照してください。

組織内で 依存関係レビュー アクション を使用するには、pull request を統合する前に dependency-review-action ワークフローを渡す必要があるリポジトリ ルールセットを設定します。 リポジトリ ルールセットは、ユーザーがリポジトリ内の選択したブランチとタグを操作する方法を制御できるルール設定です。 詳細については、「ルールセットについて」と「マージ前にワークフローに渡すことを必須にする」を参照してください。

前提条件

依存関係レビュー アクション を組織内のいずれかのリポジトリに追加し、アクションを設定する必要があります。 詳細については、「依存関係レビューアクションの構成」を参照してください。

組織の依存関係レビューを実施する

  1. GitHub の右上隅で、プロフィール写真を選択し、 あなたの組織をクリックします。

  2. 組織の隣の [設定] をクリックします。

  3. 左のサイド バーの [コード、計画、自動化] セクションで、[ リポジトリ] をクリックし、[ルールセット] をクリックします。

    組織の設定ページのスクリーンショット。 サイド バーで、[ルールセット] というラベルの付いたリンクがオレンジ色の枠線で囲まれています。

  4. [新しいブランチ ルールセット] をクリックします。

  5. [適用状態] アクティブ に設定します。

  6. 必要に応じて、組織内の特定のリポジトリを対象にすることができます。 詳細については、「組織内でターゲットにするリポジトリの選択」を参照してください。

  7. [ルール] セクションで、[マージ前にワークフローを渡すことを必須にする] オプションを選択します。

  8. [ワークフロー設定] で、[ワークフローの追加] をクリックします。

  9. ダイアログで、依存関係レビュー アクション を追加したリポジトリを選択します。 詳しい情報については、「前提条件」を参照してください。

  10. 拡張ダイアログで依存関係レビューのブランチとワークフロー ファイルを選択します。

    [必要なワークフローの追加] ダイアログのスクリーンショット。 リポジトリ、ブランチ、ワークフローを指定する必要があります。

  11. [作成] をクリックします。