脆弱性のある依存関係の管理について

GitHub Enterprise Server は、既知の脆弱性を含むサードパーティソフトウェアの使用を回避するのに役立ちます。

GitHub Enterprise Server は、脆弱性のある依存関係を削除および回避するための次のツールを提供しています。

依存関係グラフ

依存関係グラフは、リポジトリに保存されているマニフェストファイルおよびロックファイルのサマリーです。 コードベースが依存するエコシステムとパッケージ(依存関係)、およびプロジェクトに依存するリポジトリとパッケージ(依存関係)が表示されます。 依存関係グラフの情報は、依存関係のレビューと Dependabot によって使用されます。 詳しい情報については、「依存関係グラフについて」を参照してください。

依存関係のレビュー

注釈: 依存関係のレビューは現在ベータであり、変更される可能性があります。

プルリクエストの依存関係のレビューを確認することで、依存関係からコードベースに脆弱性が発生するのを防ぐことができます。 プルリクエストが脆弱性のある依存関係を追加したり、依存関係を脆弱性のあるバージョンに変更した場合、これは依存関係のレビューで強調表示されます。 プルリクエストをマージする前に、依存関係をパッチを適用したバージョンに変更できます。 For more information, see "About dependency review."

Dependabotアラート

リポジトリ内の脆弱性のある依存関係を検出すると、GitHub Enterprise Server は Dependabotアラート を作成できます。 アラートは、リポジトリの [Security] タブに表示されます。 アラートには、プロジェクト内で影響を受けるファイルへのリンクと、修正バージョンに関する情報が含まれています。 GitHub Enterprise Server は、通知設定に従って、リポジトリのメンテナにも通知します。 詳しい情報については、「脆弱性のある依存関係に対するアラートについて」を参照してください。

このドキュメントは役立ちましたか?

プライバシーポリシー

これらのドキュメントを素晴らしいものにするのを手伝ってください!

GitHubのすべてのドキュメントはオープンソースです。間違っていたり、はっきりしないところがありましたか?Pull Requestをお送りください。

コントリビューションを行う

OR, コントリビューションの方法を学んでください。

問題がまだ解決していませんか?