Dependabot alerts について
Dependabot alerts により、コードが安全でないパッケージに依存していることが通知されます。
セキュリティ上の脆弱性があるパッケージにコードが依存している� �合、プロジェクトまたはそれを使用するユーザーにさまざまな問題が発生する可能性があります。 できる� け早く、セキュリティで保護されたバージョンのパッケージにアップグレードする必要があります。
詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」をご覧く� さい。
安全でない依存関係を検出する
Dependabot により、安全でない依存関係を検出するためにスキャンが実行され、以下の� �合に Dependabot alertsが送信されます。
-
新しいアドバイザリ データが GitHub.com から 1 時間ごとに your GitHub Enterprise Server instance に同期されたとき。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」をご覧く� さい。
注: GitHub によってレビューされたアドバイザリのみが、Dependabot alertsをトリガーします。
-
リポジトリの依存関係グラフが変更された� �合。 たとえば、共同作成者がコミットをプッシュして、依存しているパッケージまたはバージョンを変更したとき。 詳細については、「依存関係グラフの概要」を参照してく� さい。
さらに、GitHub は、リポジトリの既定のブランチに対して行われた pull request で追� 、更新、削除される依存関係を確認し、プロジェクトのセキュリティを低下させる変更にフラグを立てることができます。 これにより、コードベースまで達した後ではなくその前に、脆弱な依存関係を見つけて対処できます。 詳細については、「プル リクエスト内の依存関係の変更をレビューする」を参照してく� さい。
GitHub Enterprise Server で安全でない依存関係が検出されるエコシステ� の一覧については、「サポートされているパッケージ エコシステ� 」を参照してく� さい。
注: マニフェストとロック ファイルを最新の状態に保つことが重要です。 依存関係グラフに現在の依存関係とバージョンが正確に反� されていない� �合は、使用している安全でない依存関係のアラートを見逃す可能性があります。 また、使用しなくなった依存関係のアラートを受け取る� �合もあります。
Dependabot alertsの構成について
この機能を使用するには、エンタープライズの所有者が の Dependabot alerts を有効にする必要があります。 詳細については、「企業に対する Dependabot の有効化」を参照してく� さい。
GitHub Enterprise Server で脆弱な依存関係が特定されると、Dependabot アラートが生成され、リポジトリの [セキュリティ] タブとリポジトリの依存関係グラフにそれが表示されます。 アラートには、プロジェクト内の影響を受けるファイルへのリンクと、固定バージョンに関する情� �が含まれます。 GitHub Enterprise Server は、影響を受けるリポジトリの保守担当者に、通知設定に従って新しいアラートについて通知します。 詳しい情� �については、「Dependabot alerts の構成」を参照してく� さい。
Dependabot security updatesが有効になっているリポジトリの� �合、アラートには、脆弱性を解決する最小バージョンにマニフェストまたはロック ファイルを更新するための pull request へのリンクも含まれる� �合があります。 詳細については、「Dependabot security updatesについて」を参照してく� さい。
注: GitHub Enterprise Server のセキュリティ機能は、すべての脆弱性を捕捉するものではありません。 GitHub Advisory Database は� �繁に更新されており、最新の情� �を使用したアラートが生成されます。 た� し、すべてを捕捉することや、一定の期間内に確実に既知の脆弱性について通知することはできません。 これらの機能は、人間が各依存関係をレビューして、潜在的な脆弱性やその他のイシューを確認する作業の代わりになるものではありません。必要に応じて、セキュリティ サービスに相談したり、依存関係の詳しいレビューを実施したりすることをお勧めします。
Dependabot alertsへのアクセス
リポジトリの依存関係グラフにおいて、特定のプロジェクトに影響するすべてのアラートを見ることができます。 詳しくは、「Dependabot alerts の表示と更新」を参照してく� さい。
デフォルトでは、新しいDependabot alertsに関して影響を受けるリポジトリに管理権限を持っている人に通知を行います。
リポジトリの Dependabot alertsに関する通知を受け取るには、これらのリポジトリを監視し、"すべてのアクティビティ" 通知を受け取るようにサブスクライブするか、"セキュリティ アラート" を含めるようにカスタ� 設定を構成する必要があります。 詳細については、「個々のリポジトリのウォッチ設定の構成」を参照してく� さい。 通知の配信方法と、通知が送信される� �度を選択できます。 詳しい情� �については、「Dependabot alerts の通知を構成する」を参照してく� さい。
GitHub Advisory Database 内の特定のアドバイザリに対応するすべての Dependabot alertsを見ることもできます。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」をご覧く� さい。