注: この機能を使用するには、サイト管理者が your GitHub Enterprise Server instanceの Dependabot updatesを設定する必要があります。 詳細については、「企業に対する Dependabot の有効化」を参照してく� さい。
リポジトリの [Dependabot alerts] タブには、オープンおよびクローズされたすべての Dependabot alerts および対応する Dependabot security updates が一覧表示されます。 アラートの一覧を並べ替えたり、特定のアラートをクリックしてその詳細を表示したりすることができます。 アラートを無視したり、もう一度開いたりすることもできます。 詳細については、「Dependabot alertsについて」を参照してく� さい。
Dependabot alerts と依存関係グラフを使用するリポジトリの自動セキュリティ更新を有効にすることができます。 詳細については、「Dependabot security updatesについて」を参照してく� さい。
リポジトリ内の脆弱性のある依存関係の更新について
コードベースで既知のセキュリティ リスクのある依存関係が検出されると、GitHub Enterprise Server によって Dependabot alerts が生成されます。 Dependabot security updates が有効になっているリポジトリの� �合、GitHub Enterprise Server がデフォルトのブランチで脆弱性のある依存関係を検出すると、Dependabot はそれを修正するためのプルリクエストを作成します。 プルリクエストは、脆弱性を回避するために必要最低限の安全なバージョンに依存関係をアップグレードします。
各 Dependabot アラートには一意の数値識別子があり、[Dependabot alerts] タブには、検出された各脆弱性に対するアラートが一覧表示されます。 従来の Dependabot alertsでは、依存関係ごとに脆弱性がグループ化され、依存関係ごとに 1 つのアラートが生成されていました。 従来の Dependabot アラートに移動すると、そのパッケージに対してフィルター処理された [Dependabot alerts] タブにリダイレクトされます。
Dependabot alerts の表示
- で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下にある [ セキュリティ] をクリックします。 1. セキュリティ サイドバーで、 [Dependabot alerts] をクリックします。 このオプションがない� �合は、セキュリティ アラートにアクセスできないため、アクセス権を付与する必要があることを意味します。 詳しくは、「リポジトリのセキュリティと分析設定を管理する」をご覧く� さい。
- 表示したいアラートをクリックします。
アラートの確認と修正
すべての依存関係にセキュリティ上の弱点がないことを確認することが重要です。 Dependabot によって依存関係で脆弱性 が検出された� �合、プロジェクトの露出レベルを評価し、アプリケーションをセキュリティで保護するための修復手� �を決定する必要があります。
依存関係の修正プログラ� が適用されたバージョンを利用できる� �合は、Dependabot pull request を生成して、Dependabot アラートからこの依存関係を直接更新できます。 Dependabot security updatesが有効になっている� �合は、Dependabot アラートで Pull Request がリンクされている可能性があります。
修正プログラ� が適用されたバージョンが利用できない� �合や、セキュリティで保護されたバージョンに更新できない� �合は、Dependabot によって追� 情� �が共有され、次の手� �を決定できます。 Dependabot アラートをクリックして表示すると、影響を受ける関数を含め、依存関係に関するセキュリティ アドバイザリの詳細情� �を確認できます。 これにより、自分のコードが、影響を受ける関数を呼び出すかどうかを確認できます。 この情� �は、リスク レベルをさらに厳密に評価し、回避策を決定したり、セキュリティ アドバイザリによって表されるリスクを受け入れられるかどうかを判断したりするのに役立ちます。
脆弱性のある依存関係を修正する
-
アラートの詳細を表示します。 詳しい情� �については、「Dependabot alerts の表示」 (上記) を参照してく� さい。
-
Dependabot security updatesが有効になっている� �合は、依存関係を修正する Pull Request へのリンクが存在する可能性があります。 または、アラートの詳細ページの上部にある [Dependabot セキュリティ更新プログラ� を作成する] をクリックして Pull Request を作成することもできます。
-
Dependabot security updatesを使用しない� �合は、必要に応じて、ページの情� �を使用してアップグレード先の依存関係のバージョンを決定し、セキュリティで保護されたバージョンに依存関係を更新する Pull Request を作成することができます。
-
依存関係を更新して脆弱性を解決する準備ができたら、プルリクエストをマージしてく� さい。
Dependabot によって発行される各 pull request には、Dependabot の制御に使用できるコマンドの情� �が含まれています。 詳細については、「Managing pull requests for dependency updates」(依存関係の更新に対するプル リクエストの管理) を参照してく� さい。
Dependabot alertsを無視する
ヒント: 無視できるのは、オープン アラートのみです。
依存関係をアップグレードするための広範な作業をスケジュールする� �合や、アラートを修正する必要がないと判断した� �合は、アラートを無視できます。 既に評価済みのアラートを無視すると、新しいアラートが表示されたときに簡単にトリアージできます。
- アラートの詳細を表示します。 詳細については、「脆弱性のある依存関係を表示する」(上記) を参照してく� さい。
- [無視] ドロップダウンを選び、アラートを無視する理由をクリックします。
Dependabot alerts の監査ログの確認
組織またはエンタープライズのメンバーが Dependabot alerts に関連するアクションを実行した� �合は、監査ログでそのアクションを確認できます。 ログへのアクセスについて詳しくは、組織の監査ログの確認に関するページと「エンタープライズの監査ログにアクセスする」を参照してく� さい。
Dependabot alerts に関する監査ログのイベントには、� れがアクションを実行したか、何のアクションか、いつアクションを実行したか、などの詳細が含まれます。 Dependabot alerts アクションについて詳しくは、「組織の監査ログの確認」と「エンタープライズの監査ログ イベント」の repository_vulnerability_alert
カテゴリを参照してく� さい。