ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

リポジトリ内の脆弱な依存関係を表示・更新する

GitHub Enterprise Server がプロジェクト内の脆弱性のある依存関係を発見した場合は、それらをリポジトリの [Dependabot alerts] タブで確認できます。 その後、プロジェクトを更新してこの脆弱性を解決することができます。

Repository administrators and organization owners can view and update dependencies.

Your repository's Dependabotアラート tab lists all open and closed Dependabotアラート. You can sort the list of alerts by selecting the drop-down menu, and you can click into specific alerts for more details. 詳しい情報については、「脆弱性のある依存関係に対するアラートについて」を参照してください。

加えて、 GitHubは、リポジトリのデフォルトブランチに対して作成されたPull Request中で追加、更新、削除された依存関係のレビューを行うことができ、プロジェクトに脆弱性をもたらすような変更にフラグを立てることができます。 これによって、脆弱な依存関係がコードベースに達したあとではなく、達する前に特定して対処できるようになります。 詳しい情報については「Pull Request中の依存関係の変更のレビュー」を参照してください。

脆弱性のある依存関係を表示して更新する

  1. your GitHub Enterprise Server instanceで、リポジトリのメインページにアクセスしてください。
  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。 セキュリティのタブ
  3. セキュリティサイドバーで、Dependabotアラートをクリックしてください。Dependabotアラート tab
  4. 表示したいアラートをクリックします。 アラートリストで選択されたアラート
  5. 脆弱性の詳細をレビューし、依存関係を更新する必要があるかを判断してください。
  6. 依存関係のセキュアなバージョンへマニフェストあるいはロックファイルを更新するPull Requestをマージすると、アラートは解決されます。 Alternatively, if you decide not to update the dependency, select the Dismiss drop-down, and click a reason for dismissing the alert. [Dismiss] ドロップダウンでアラートを却下する理由を選択する

参考リンク

このドキュメントは役立ちましたか?

プライバシーポリシー

これらのドキュメントを素晴らしいものにするのを手伝ってください!

GitHubのすべてのドキュメントはオープンソースです。間違っていたり、はっきりしないところがありましたか?Pull Requestをお送りください。

コントリビューションを行う

OR, コントリビューションの方法を学んでください。

問題がまだ解決していませんか?