脆弱性のある依存関係の通知を設定する

Dependabotアラートに関する通知の受信方法の最適化

脆弱性のある依存関係の通知について

Dependabotがリポジトリ中に脆弱性のある依存関係を検出すると、Dependabotアラートが生成され、そのリポジトリのセキュリティタブに表示されます。 GitHub Enterprise Serverは、影響を受けるリポジトリのメンテナに、リポジトリの通知設定に従って新しいアラートに関する通知を行います。

デフォルトでは、サイト管理者がEnterpriseにおいて通知のためのメールを設定していれば、あなたはメールでDependabotアラートを受け取ることになります。

サイト管理者は、通知なしで Dependabotアラート を有効にすることもできます。 詳細については、「GitHub Enterprise Server への脆弱性のある依存関係に対する Dependabotアラート の有効化」を参照してください。

Dependabotアラートの通知設定

When a new Dependabot alert is detected, GitHub Enterprise Server notifies all users with access to Dependabotアラート for the repository according to their notification preferences. You will receive alerts if you are watching the repository, have enabled notifications for security alerts or for all the activity on the repository, and are not ignoring the repository. 詳しい情報については、「通知を設定する」を参照してください。

各ページの上部に表示される [Manage notifications] ドロップダウン から、自分または Organization の通知設定を構成できます。 詳しい情報については、「通知を設定する」を参照してください。

You can choose the delivery method for notifications, as well as the frequency at which the notifications are sent to you.

デフォルトでは、サイト管理者がインスタンス上でメール通知を設定していれば、Dependabotアラートを受け取ることになります:

  • メールについては、Dependabotがリポジトリで有効化された場合、新しいマニフェストファイルがリポジトリにコミットされた場合、重要度が重大もしくは高の新しい脆弱性が見つかった場合に送信されます(Email each time a vulnerability is found(脆弱性が見つかるたびにメールする)オプション)。
  • ユーザインターフェースについては、脆弱な依存関係があった場合に、リポジトリのファイルとコードビューに警告が表示されます(UI alerts(UIアラート)オプション)。
  • コマンドラインについては、脆弱な依存関係を伴うプッシュをリポジトリに対して行った場合、コールバックとして警告が表示されます(Command Line(コマンドライン)オプション)。
  • インボックスについては、Web通知として表示されます。 Web通知は、Dependabotがリポジトリで有効化された場合、新しいマニフェストファイルがリポジトリにコミットされた場合、重要度が重大もしくは高の新しい脆弱性が見つかった場合に送信されます(Webオプション)。
  • GitHub for mobileでは、Web通知として表示されます。 詳しい情報については「GitHub for mobileでのプッシュ通知の有効化」を参照してください。

ノート: メール及びWeb / GitHub for mobile通知は以下のようになります。

  • リポジトリごと Dependabotがリポジトリで有効化された場合、あるいは新しいマニフェストファイルがリポジトリにコミットされた場合。

  • Organizationごと 新しい脆弱性が見つかった場合。

通知を

Dependabotアラートについて受ける方法は、カスタマイズできます。 たとえば、Email a digest summary of vulnerabilities(脆弱性のダイジェストサマリーメール)及びWeekly security email digest(週間のセキュリティメールダイジェスト)オプションを使って、最大10件のリポジトリに関するアラートをまとめた週間のダイジェストメールを受信できます。

Dependabotアラート オプション

ノート: GitHubの通知をフィルタして、Dependabotアラートを表示できます。 詳しい情報については「インボックスからの通知の管理」を参照してください。

X-GitHub-Severityヘッダフィールドを含む、1つ以上のリポジトリに影響するDependabotアラートに対するメール通知。 X-GitHub-Severityヘッダフィールドは、Dependabotアラートに対するメール通知のフィルタリングに利用できます。 詳しい情報については、「通知を設定する」を参照してください。

脆弱性のある依存関係の通知を減らす方法

Dependabotアラートの通知をあまりに多く受け取ることが心配なら、週次のメールダイジェストにオプトインするか、Dependabotアラートを有効化したままで通知をオフにすることをおすすめします。 その場合でも、リポジトリのセキュリティタブでDependabotアラートを確認することはできます。 詳細については、「リポジトリ内の脆弱な依存関係を表示・更新する」を参照してください。

参考リンク

このドキュメントは役立ちましたか?

プライバシーポリシー

これらのドキュメントを素晴らしいものにするのを手伝ってください!

GitHubのすべてのドキュメントはオープンソースです。間違っていたり、はっきりしないところがありましたか?Pull Requestをお送りください。

コントリビューションを行う

OR, コントリビューションの方法を学んでください。

問題がまだ解決していませんか?