脆弱性のある依存関係の Dependabot alerts
脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。 脆弱性の種類、重要度、攻撃の方法は様々です。
GitHub Advisory Database に新しいアドバイザリが追加されたとき、またはリポジトリの依存関係グラフが変更されたとき、Dependabot によってコードがスキャンされます。 脆弱な依存関係が検出されると、Dependabot alertsが生成されます。 詳しくは、「Dependabot アラートについて」を参照してください。
Dependabot security updatesをリポジトリに対して有効にしている場合、アラートには、脆弱性を解決する最小バージョンにマニフェストまたはロック ファイルを更新する pull request へのリンクも含まれる場合があります。 詳しくは、「Dependabot のセキュリティ アップデート」を参照してください。
次の場合、Dependabot alerts を有効か無効にできます。
- 個人アカウント
- リポジトリ
- Organization
- Enterprise
さらに、Dependabot 自動トリアージ ルール を使用してアラートを大規模に管理できるため、アラートを自動的に閉じたりスヌーズしたりして、pull requestを開く Dependabot アラートを指定できます。 さまざまな種類の自動トリアージ ルールと、およびリポジトリが適格かどうかについては、「Dependabot 自動トリアージ ルールについて」を参照してください。
個人アカウントの Dependabot alerts の管理
リポジトリの Dependabot alerts は、Enterprise 所有者が有効か無効にできます。 詳しくは、「エンタープライズ向けの Dependabot の有効化」を参照してください。
リポジトリの Dependabot alerts の管理
パブリック、プライベート、または内部リポジトリの Dependabot alerts を管理できます。
既定では、新しいDependabot alertsに関して影響を受けるリポジトリに書き込み、保守、または管理アクセス権を持つ人に通知されます。 GitHub Enterprise Server は、どのようなリポジトリについても、安全でない依存関係を公表することはありません。 Dependabot alerts を、自分が所有または管理者権限を持っているリポジトリで作業している追加のユーザーやチームに表示することもできます。
Enterprise 所有者がEnterprise の Dependabot を最初に設定しておかないと、リポジトリの Dependabot alerts を管理できません。 詳しくは、「エンタープライズ向けの Dependabot の有効化」をご覧ください。
リポジトリに対する Dependabot alerts の有効化および無効化
-
GitHub で、リポジトリのメイン ページに移動します。
-
リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
-
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
-
[コードのセキュリティと分析] で、Dependabot alertsの右側にある [有効にする] をクリックしてアラートを有効にするか、 [無効にする] をクリックしてアラートを無効にします。
Organization の Dependabot alerts の管理
Organization が所有するリポジトリの一部またはすべてに対して Dependabot alerts を有効または無効にできます。 組織全体でセキュリティ機能を有効にする方法の詳細については、「「組織を保護するためのクイック スタート」。
Enterprise 所有者がEnterprise の Dependabot を最初に設定しておかないと、リポジトリの Dependabot alerts を管理できません。 詳しくは、「エンタープライズ向けの Dependabot の有効化」をご覧ください。
既存のすべてのリポジトリに対する Dependabot alerts の有効化または無効化
セキュリティの概要を使って一連のリポジトリを検索し、それらすべてに対する Dependabot alerts を同時に有効または無効にできます。 詳しくは、「複数のリポジトリでセキュリティ機能を有効にする」を参照してください。
また、[コードのセキュリティと分析] の Organization 設定ページを使って、Organization 内のすべての既存リポジトリで Dependabot alerts を有効または無効にすることもできます。
- GitHub の右上隅で、プロフィール写真を選択し、 あなたの組織をクリックします。
- 組織の隣の [設定] をクリックします。
- サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
- Code security and analysis で、Dependabot alerts の右側にある [すべて無効にする] か [すべて有効にする] をクリックします。
- 必要に応じて、Organization の新しいリポジトリで Dependabot alerts を既定で有効にするには、ダイアログ ボックスで [新しいリポジトリに対して既定で有効にする] を選びます。
- [Dependabot alertsを無効にする] か [Dependabot alertsを有効にする] をクリックすると、組織内のすべてのリポジトリに対して Dependabot alerts を無効か有効にすることができます。
Enterprise の Dependabot alerts の管理
Enterprise 内の Organization が所有する現在と将来のすべてのリポジトリに対して、Dependabot alerts を有効または無効にできます。 変更はすべてのリポジトリに影響します。
-
GitHub Enterprise Server の右上で、ご自分のプロフィール フォトをクリックしてから、 [Enterprise 設定] をクリックします。
-
ページの左側にある Enterprise アカウントのサイドバーで、 [設定] をクリックします。
-
左側のサイドバーで、 [コードのセキュリティと分析] をクリックします。
-
この [Dependabot] セクションの [Dependabot alerts] の右側にある [すべて無効にする] または [すべて有効にする] をクリックします。
-
必要に応じて、 [Automatically enable for new repositories] (新しいリポジトリの場合は自動的に有効にする) を選ぶと、Organization の新しいリポジトリで Dependabot alerts が既定で有効になります。