GitHub プリセット ルールを使用して Dependabot アラートに優先順位を付ける

GitHub によってキュレーションされた既定 ルールである GitHub プリセット を使用すると、npm 依存関係の影響度の低い開発アラートを自動的に無視できます。

この機能を使用できるユーザーについて

People with write permissions can view Dependabot 自動トリアージ ルール for the repository. People with admin permissions to a repository can enable or disable GitHub プリセット for the repository. Organization owners and security managers can enable or disable GitHub プリセット at the organization-level and optionally choose to enforce rules for repositories in the organization.

この記事の内容

GitHub プリセット

について

Dismiss low impact issues for development-scoped dependencies ルール は、開発で使用される npm 依存関係で見つかった特定のタイプの脆弱性を自動的に無視する GitHub プリセットです。 これらのアラートの対象となるケースは、関連する脆弱性が次のようなものであるため、ほとんどの開発者には誤報のように感じられます。

  • 開発者 (非運用またはランタイム) 環境で悪用される可能性が低い。
  • リソース管理、プログラミングとロジック、情報漏えいの問題に関連する場合がある。
  • 最悪の場合でも、ビルド速度の低下やテストの長時間化など、影響が限定的である。
  • 運用環境での問題を示すものではない。

注: 影響の少ない開発アラートの自動無視は、現在、npm でのみサポートされています。

Dismiss low impact issues for development-scoped dependencies ルールには、リソース管理、プログラミングとロジック、情報開示の問題に関連する脆弱性が含まれています。 詳しい情報については、「Dismiss low impact issues for development-scoped dependencies ルールで使用される公開済み CWE」を参照してください。

これらの影響の少ないアラートを除外すると、リスクが高い可能性のある開発スコープのアラートを見逃すことを心配する必要がなくなり、自分にとって重要なアラートに集中できます。

Dismiss low impact issues for development-scoped dependencies ルールはパブリック リポジトリではデフォルトで有効になり、プライベート リポジトリでは無効になります。 プライベート リポジトリの管理者は、リポジトリのルールを有効にすることでオプトインできます。

プライベート リポジトリの Dismiss low impact issues for development-scoped dependencies ルールを有効にする

リポジトリの Dependabot alertsは、Enterprise 所有者が有効または無効にすることができます。 詳しくは、「エンタープライズ向けの Dependabot の有効化」をご覧ください。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

  4. 「Dependabot alerts」で、「Dependabot rules」ルール付近の をクリックします。

    リポジトリの [コードのセキュリティと分析] ページのスクリーンショット。 歯車のアイコンがオレンジ色の枠線で強調表示されています。

  5. [GitHub presets](GitHub プリセット) の Dismiss low impact issues for development-scoped dependencies の右側にある をクリックします。

  6. State でドロップダウン メニューを選択し、Enabled をクリックします。

  7. [Save rule](ルールの保存) をクリックします。

ルール Dismiss low impact issues for development-scoped dependencies で使用される公開済み CWE

ecosystem:npm および scope:development アラートのメタデータと共に、GitHub でキュレーションされた次の共通脆弱性タイプ一覧 (CWE) を使用して、Dismiss low impact issues for development-scoped dependencies ルールの影響の少ないアラートを除外します。 この一覧と、組み込みルールの対象となる脆弱性パターンを定期的に改善しています。

リソース管理の問題

  • CWE-400 未制御のリソース消費
  • CWE-770 制限またはスロットリングなしのリソースの割り当て
  • CWE-409 高圧縮データの不適切な処理 (データ増幅)
  • CWE-908 初期化されていないリソースの使用
  • CWE-1333 非効率的な正規表現の複雑さ
  • CWE-835 到達不能な終了条件を持つループ ('無限ループ')
  • CWE-674 不適切な再帰制御
  • CWE-1119 無条件分岐の過剰使用

プログラミングおよびロジックのエラー

  • CWE-185 不正な正規表現
  • CWE-754 例外的な状態における不適切なチェック
  • CWE-755 例外的な状態における不適切な処理
  • CWE-248 キャッチされない例外
  • CWE-252 未チェックの戻り値
  • CWE-391 未チェックのエラー状態
  • CWE-696 不正な動作順
  • CWE-1254 不正な比較ロジックの粒度
  • CWE-665 不適切な初期化
  • CWE-703 例外的な状況に対する不適切なチェックまたは処理
  • CWE-178 大文字と小文字の区別の不適切な処理

情報漏えいの問題

  • CWE-544 標準化されたエラー処理メカニズムの欠落
  • CWE-377 安全でない一時ファイル
  • CWE-451 ユーザー インターフェース (UI) における重要情報の誤った表示
  • CWE-668 誤った領域へのリソースの漏えい