Dependabot alerts の通知について
Dependabot でリポジトリ中に脆弱性のある依存関係を検出すると、Dependabot アラートが生成され、そのリポジトリの [Security](セキュリティ) タブに表示されます。 GitHub Enterprise Server では、影響を受けるリポジトリのメンテナーに、その通知設定に従って新しいアラートに関する通知が行われます。
デフォルトでは、Enterprise のオーナーが Enterprise での通知のためのメールを設定していれば、あなたはメールで Dependabot alerts を受け取ることになります。
Enterprise のオーナーは、通知なしで Dependabot alerts を有効にすることもできます。 詳細については、「エンタープライズでの Dependabot の有効化」を参照してく� さい。
Dependabot alertsの通知設定
新しい Dependabot のアラートが検出されると、GitHub Enterprise Server によって、通知の設定に従って、リポジトリについて Dependabot alerts にアクセスできるすべてのユーザーに通知されます。 あなたがリポジトリを監視しており、セキュリティ アラートまたはリポジトリ上のすべてのアクティビティの通知を有効にしていて、リポジトリを無視していない� �合は、アラートが通知されます。 詳細については、「通知の設定」を参照してく� さい。
各ページの上部に表示される [Manage notifications] ドロップダウン から、自分または Organization の通知設定を構成できます。 詳細については、「通知の設定」を参照してく� さい。
通知の配信方法と、通知が送信される� �度を選択できます。 既定では、エンタープライズ所有者がインスタンスで通知用にメールを構成している� �合、Dependabot alerts を次のように受け取ります。
-
インボックス (Web 通知として)。 Web 通知は、Dependabot がリポジトリで有効にされていて、新しいマニフェスト ファイルがリポジトリにコミットされたときに、重要度が重大または高の新しい脆弱性が見つかった� �合に送信されます ( [GitHub 上] オプション)。
-
メール。Dependabot がリポジトリで有効にされていて、新しいマニフェスト ファイルがリポジトリにコミットされたときに、重要度が重大または高の新しい脆弱性が見つかると、メールが送信されます ( [Email] オプション)。
-
ユーザー インターフェイス。セキュリティで保護されていない依存関係がある� �合、リポジトリのファイル ビューとコード ビューに警告が表示されます ( [UI アラート] オプション)。
-
コマンド ライン。セキュリティで保護されていない依存関係を使用してリポジトリにプッシュすると、警告がコールバックとして表示されます ( [CLI] オプション)。
-
GitHub Mobileでは、Web通知として表示されます。 詳しくは、「GitHub Mobile でプッシュ通知を有効にする」を参照してく� さい。
注: メールと Web/GitHub Mobile の通知は次のとおりです。
-
Dependabot がリポジトリで有効にされているとき、または新しいマニフェスト ファイルがリポジトリにコミットされたときは、リポジトリごと。
-
新しい脆弱性が検出されたときは、Organization ごと。
Dependabot alertsに関する通知を受け取る方法をカスタマイズできます。 たとえば、 [脆弱性の要約をメールで送る] と [週単位のセキュリティ メール ダイジェスト] オプションを使用すると、最大 10 個のリポジトリについてアラートを要約した週単位のダイジェスト メールを受け取ることができます。
注: GitHub で通知をフィルター処理して、Dependabot alerts を表示できます。 詳細については、「受信トレイからの通知の管理」を参照してく� さい。
1 つ以上のリポジトリに影響する Dependabot alerts のメール通知には、X-GitHub-Severity
ヘッダー フィールドが含まれます。 X-GitHub-Severity
ヘッダー フィールドの値を使用して、Dependabot alerts のメール通知をフィルター処理できます。 詳しくは、通知の構成に関するページをご覧く� さい。
Dependabot alerts の通知によるノイズを軽減する方法
Dependabot alertsの通知をあまりに多く受け取ることが心配なら、週次のメールダイジェストにオプトインするか、Dependabot alertsを有効化したままで通知をオフにすることをおすすめします。 引き続き移動して、リポジトリの [セキュリティ] タブに Dependabot alerts を表示することができます。詳しくは、「Dependabot alertsの表示と更新」を参照してく� さい。