GitHub プリセット
について
Dismiss low impact issues for development-scoped dependencies ルール は、開発で使用される npm 依存関係で見つかった特定のタイプの脆弱性を自動的に無視する GitHub プリセットです。 これらのアラートの対象となるケースは、関連する脆弱性が次のようなものであるため、ほとんどの開発者には誤報のように感じられます。
- 開発者 (非運用またはランタイム) 環境で悪用される可能性が低い。
- リソース管理、プログラミングとロジック、情報漏えいの問題に関連する場合がある。
- 最悪の場合でも、ビルド速度の低下やテストの長時間化など、影響が限定的である。
- 運用環境での問題を示すものではない。
Note
影響の少ない開発アラートの自動無視は、現在、npm でのみサポートされています。
Dismiss low impact issues for development-scoped dependencies ルールには、リソース管理、プログラミングとロジック、情報開示の問題に関連する脆弱性が含まれています。 詳しい情報については、「Dismiss low impact issues for development-scoped dependencies ルールで使用される公開済み CWE」を参照してください。
これらの影響の少ないアラートを除外すると、リスクが高い可能性のある開発スコープのアラートを見逃すことを心配する必要がなくなり、自分にとって重要なアラートに集中できます。
Dismiss low impact issues for development-scoped dependencies ルールはパブリック リポジトリではデフォルトで有効になり、プライベート リポジトリでは無効になります。 プライベート リポジトリの管理者は、リポジトリのルールを有効にすることでオプトインできます。
プライベート リポジトリの Dismiss low impact issues for development-scoped dependencies ルールを有効にする
リポジトリの Dependabot alertsは、Enterprise 所有者が有効または無効にすることができます。 詳しくは、「エンタープライズ向けの Dependabot の有効化」をご覧ください。
-
GitHub で、リポジトリのメイン ページに移動します。
-
リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-28260/images/help/repository/repo-actions-settings.png)
-
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
-
「Dependabot alerts」で、「Dependabot rules」ルール付近の をクリックします。
![リポジトリの [コードのセキュリティと分析] ページのスクリーンショット。 歯車のアイコンがオレンジ色の枠線で強調表示されています。](/assets/cb-38693/images/help/repository/dependabot-rules-page.png)
-
[GitHub presets](GitHub プリセット) の Dismiss low impact issues for development-scoped dependencies の右側にある をクリックします。
-
[Save rule](ルールの保存) をクリックします。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-28260/mw-1440/images/help/repository/repo-actions-settings.webp)
![リポジトリの [コードのセキュリティと分析] ページのスクリーンショット。 歯車のアイコンがオレンジ色の枠線で強調表示されています。](/assets/cb-38693/mw-1440/images/help/repository/dependabot-rules-page.webp)
ルール Dismiss low impact issues for development-scoped dependencies で使用される公開済み CWE
ecosystem:npm および scope:development アラートのメタデータと共に、GitHub でキュレーションされた次の共通脆弱性タイプ一覧 (CWE) を使用して、Dismiss low impact issues for development-scoped dependencies ルールの影響の少ないアラートを除外します。 この一覧と、組み込みルールの対象となる脆弱性パターンを定期的に改善しています。
リソース管理の問題
- CWE-400 未制御のリソース消費
- CWE-770 制限またはスロットリングなしのリソースの割り当て
- CWE-409 高圧縮データの不適切な処理 (データ増幅)
- CWE-908 初期化されていないリソースの使用
- CWE-1333 非効率的な正規表現の複雑さ
- CWE-835 到達不能な終了条件を持つループ ('無限ループ')
- CWE-674 不適切な再帰制御
- CWE-1119 無条件分岐の過剰使用
プログラミングおよびロジックのエラー
- CWE-185 不正な正規表現
- CWE-754 例外的な状態における不適切なチェック
- CWE-755 例外的な状態における不適切な処理
- CWE-248 キャッチされない例外
- CWE-252 未チェックの戻り値
- CWE-391 未チェックのエラー状態
- CWE-696 不正な動作順
- CWE-1254 不正な比較ロジックの粒度
- CWE-665 不適切な初期化
- CWE-703 例外的な状況に対する不適切なチェックまたは処理
- CWE-178 大文字と小文字の区別の不適切な処理
情報漏えいの問題
- CWE-544 標準化されたエラー処理メカニズムの欠落
- CWE-377 安全でない一時ファイル
- CWE-451 ユーザー インターフェース (UI) における重要情報の誤った表示
- CWE-668 誤った領域へのリソースの漏えい