注: この機能を使用するには、サイト管理者が your GitHub Enterprise Server instanceの Dependabot updatesを設定する必要があります。 詳細については、「企業に対する Dependabot の有効化」を参照してく� さい。
Dependabot security updates について
Dependabot security updates で、リポジトリ内の脆弱性のある依存関係を簡単に修正できます。 この機能を有効にすると、リポジトリの依存関係グラフで脆弱性のある依存関係に対して Dependabot アラートが発生すると、Dependabot は自動的にそれを修正しようとします。 詳しくは、「Dependabot alerts について」と「Dependabot security updates を構成する」をご覧く� さい。
GitHub は、最近公開された GitHub セキュリティ アドバイザリによって公開された脆弱性に影響されるリポジトリに Dependabot alerts を送信できます。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」をご覧く� さい。
Dependabot は、リポジトリの依存関係グラフを中断することなく、脆弱性のある依存関係を修正バージョンにアップグレードできるかどうかを確認します。 次に、 Dependabot はプルリクエストを発生させて、パッチを含む最小バージョンに依存関係を更新し、プルリクエストを Dependabot アラートにリンクするか、アラートのエラーを� �告します。 詳しくは、「Dependabot エラーのトラブルシューティング」をご覧く� さい。
Dependabot security updates 機能は、依存関係グラフと Dependabot alerts を有効にしているリポジトリで使用できます。 完全な依存関係グラフで識別されたすべての脆弱性のある依存関係について、Dependabot アラートが表示されます。 た� し、セキュリティアップデートプログラ� は、マニフェストファイルまたはロックファイルで指定されている依存関係に対してのみトリガーされます。 詳細については、「依存関係グラフの概要」を参照してく� さい。
関連する機能 Dependabot version updates を有効にして、Dependabot が古い依存関係を検出するたびに、マニフェストを最新バージョンの依存関係に更新するプルリクエストを生成させることができます。 詳細については、「Dependabot のバージョン アップデートについて」を参照してく� さい。
Dependabot によって pull request が発生する� �合、その pull request は、"セキュリティ" 更新プログラ� か "バージョン" アップデートを対象としたものである可能性があります。
- Dependabot security updates は、既知の脆弱性を持つ依存関係を更新するのに役立つ、自動化された pull request です。
- Dependabot version updates は、依存関係に脆弱税がなくても、依存関係を最新の状態に維持する、自動化された pull request です。 バージョンアップデートの状態をチェックするには、リポジトリのInsights(インサイト)タブ、続いてDependency Graph(依存関係グラフ)、そしてDependabotにアクセスしてく� さい。
GitHub Actions は、GitHub Enterprise Server で Dependabot version updatesと Dependabot security updatesを実行するために必要です。Dependabot updates を有効にする前に、セルフホステッド ランナーで GitHub Actions を使用するように your GitHub Enterprise Server instanceを構成する必要があります。詳しくは、「Enterprise に対する Dependabot の有効化」を参照してく� さい。
セキュリティアップデートのプルリクエストについて
各プルリクエストには、提案された修正を迅速かつ安全に確認してプロジェクトにマージするために必要なすべてのものが含まれています。 これには、リリースノート、変更ログエントリ、コミットの詳細などの脆弱性に関する情� �が含まれます。 プルリクエストが解決する脆弱性の詳細は、リポジトリの Dependabot alerts にアクセスできないユーザには表示されません。
セキュリティアップデートを含むプルリクエストをマージすると、対応する Dependabot アラートがリポジトリに対して解決済みとしてマークされます。 Dependabot の pull request について詳しくは、「依存関係の更新に関する pull request を管理する」をご覧く� さい。
注: 自動テストと受け入れプロセスを用意しておいて、pull request がマージされる前にチェックが実行されるようにすることをお勧めします。 これは特に、アップグレードが提案されたバージョンに追� 機能があったり、プロジェクトのコードを� �壊するような変更がある� �合に重要です。 継続的インテグレーションの詳細については、「継続的インテグレーションについて」を参照してく� さい。
Dependabot セキュリティアップデートの通知について
GitHub で通知をフィルタして、Dependabot セキュリティアップデートを表示できます。 詳細については、「受信トレイからの通知の管理」を参照してく� さい。