Skip to main content

このバージョンの GitHub Enterprise はこの日付をもって終了となります: 2023-01-18. 重大なセキュリティの問題に対してであっても、パッチリリースは作成されません。 パフォーマンスの向上、セキュリティの向上、新機能の向上を図るために、最新バージョンの GitHub Enterprise にアップグレードします。 アップグレードに関するヘルプについては、GitHub Enterprise サポートにお問い合わせください

エンタープライズ向けの Dependabot の有効化

Dependabot alerts と Dependabot updates を有効にすることで、your GitHub Enterprise Server instance のユーザーがコードの依存関係の脆弱性を見つけて修正できるようにすることができます。

Who can use this feature

Enterprise owners can enable Dependabot.

GitHub Enterprise Server の Dependabot について

Dependabot を使用すると、your GitHub Enterprise Server instance のユーザーが依存関係の脆弱性を見つけて修正するのに役立ちます。Dependabot alerts を有効にして、脆弱な依存関係についてユーザーに通知し、Dependabot updates を有効にして脆弱性を修正し、依存関係を最新バージョンに更新することができます。

Dependabot は、your GitHub Enterprise Server instance のサプライ チェーンのセキュリティを強化するために使用できる多くの機能の 1 つに過ぎません。 他の機能の詳細については、「エンタープライズ向けサプライ チェーン セキュリティについて」を参照してください。

Dependabot alerts について

Dependabot alerts により、GitHub は、GitHub Advisory Database のデータと依存関係グラフ サービスを使い、リポジトリ内の安全でない依存関係を特定して your GitHub Enterprise Server instance にアラートを作成します。

アドバイザリは、以下のソースから GitHub Advisory Database に追加されます。

アドバイザリのインポート元として他のデータベースに心当たりがある場合は、https://github.com/github/advisory-database で issue をオープンしてお知らせください。

エンタープライズに対して Dependabot alerts を有効にすると、脆弱性データが GitHub Advisory Database からインスタンスに 1 時間に 1 回同期されます。 GitHub でレビューされたアドバイザリのみが同期されます。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」をご覧ください。

また、脆弱性データはいつでも手動で同期することができます。 詳細については、「エンタープライズの脆弱性データの表示」を参照してください。

注: Dependabot alerts を有効にすると、your GitHub Enterprise Server instance のコードやコードに関する情報は、GitHub.com にアップロードされません。

your GitHub Enterprise Server instance は、脆弱性に関する情報を受け取ると、影響を受けるバージョンの依存関係を使用する your GitHub Enterprise Server instance 内のリポジトリを識別して、Dependabot alerts を生成します。 新しい Dependabot alerts についてユーザーに自動的に通知するかどうかを選択できます。

Dependabot alerts が有効になっているリポジトリの場合、マニフェスト ファイルまたはロック ファイルを含む既定のブランチへの任意のプッシュでスキャンがトリガーされます。 さらに、新しい脆弱性レコードが your GitHub Enterprise Server instance に追加されると、GitHub Enterprise Server は your GitHub Enterprise Server instance のすべての既存のリポジトリをスキャンして、脆弱なリポジトリについてのアラートを生成します。 詳細については、「Dependabot alerts について」を参照してください。

Dependabot updates について

Note: Dependabot security and version updates are currently in private beta and subject to change. Please contact your account management team for instructions on enabling Dependabot updates.

Dependabot alerts を有効にした後、Dependabot updates を有効にすることができます。 Dependabot updates が your GitHub Enterprise Server instance に対して有効になっている場合、ユーザーはリポジトリを構成して、依存関係の更新とセキュリティ保護が自動的に行われるようにすることができます。

: GitHub Enterprise Server の Dependabot updates には、セルフホステッド ランナーを含む GitHub Actions が必要です。

既定では、Dependabot で使用される GitHub Actions ランナーは、上流パッケージ マネージャーから更新されたパッケージをダウンロードするために、インターネットにアクセスする必要があります。 GitHub Connect を利用する Dependabot updates の場合、インターネット アクセスにより、GitHub.com でホストされる依存関係とアドバイザリへのアクセスを可能にするトークンがランナーに提供されます。

Dependabot updates では、GitHub によって、依存関係を更新するためのプル要求が 2 つの方法で自動的に作成されます。

  • Dependabot version updates : 追跡対象の依存関係の新しいバージョンがリリースされたときに Dependabot がプル要求を作成できるように、ユーザーは Dependabot 構成ファイルをリポジトリに追加します。 詳細については、「Dependabot version updates について」を参照してください。
  • Dependabot security updates : ユーザーは、GitHub でリポジトリの依存関係グラフのいずれかの依存関係で脆弱性が検出されたときに、Dependabot がプル要求を作成できるようにリポジトリ設定を切り替えます。 詳細については、「Dependabot alerts について」と「Dependabot security updates について」を参照してください。

Dependabot alerts の有効化

Dependabot alerts を有効にする前に、次のことを行います。

  1. GitHub Enterprise Server の右上で、ご自分のプロファイル写真をクリックしてから、 [Enterprise 設定] をクリックします。 GitHub Enterprise Server のプロファイル写真のドロップダウン メニューの [自分の Enterprise] 1. [Enterprise アカウント] サイドバーで、 [GitHub Connect] をクリックします。 [Enterprise アカウント] サイドバーの [Github Connect] タブ

  2. [リポジトリは脆弱性のスキャンが可能] で、ドロップダウンメニューを選択して、 [有効 (通知なし)] を選択します。 必要に応じて、通知ありでアラートを有効にするには、 [有効 (通知あり)] をクリックします。 脆弱性に対するリポジトリのスキャンを有効化するドロップダウンメニュー

    ヒント: メールの過負荷を避けるため、最初の数日間は Dependabot alerts を通知なしに設定することをお勧めします。 数日後、通知を有効化して、通常どおり Dependabot alerts を受信できます。

Dependabot alerts を有効にする場合は、Dependabot security updates に対して GitHub Actions を設定することも検討する必要があります。 この機能により、開発者は依存関係の脆弱性を修正できます。 詳細については、「エンタープライズでの Dependabot updates のセルフホステッド ランナーの管理」を参照してください。

セキュリティを強化する必要がある場合は、プライベート レジストリを使用するように Dependabot を構成することをお勧めします。 詳細については、「Dependabot に対する暗号化されたシークレットを管理する」を参照してください。