Skip to main content

このバージョンの GitHub Enterprise はこの日付をもって終了となりました: 2023-01-18. 重大なセキュリティの問題に対してであっても、パッチリリースは作成されません。 パフォーマンスの向上、セキュリティの向上、新機能の向上を図るために、最新バージョンの GitHub Enterprise にアップグレードします。 アップグレードに関するヘルプについては、GitHub Enterprise サポートにお問い合わせく� さい

Configuring Dependabot security updates (Dependabot セキュリティ アップデートの構成)

Dependabot security updates または手動のプルリクエストを使用して、脆弱性のある依存関係を簡単に更新できます。

**注:** Dependabot セキュリティとバージョンの更新プログラ� は現在プライベート ベータ版であり、変更される可能性があります。 Dependabot アップデートを有効にする手� �については、[アカウント管理チー� にお問い合せく� さい](https://enterprise.github.com/contact)。

注: この機能を使用するには、サイト管理者が your GitHub Enterprise Server instanceの Dependabot updatesを設定する必要があります。 詳細については、「企業に対する Dependabot の有効化」を参照してく� さい。

Dependabot security updates の設定について

リポジトリ レベル、または個人アカウントまたは Organization が所有するすべてのリポジトリに対して Dependabot security updates を有効にすることができます。 Dependabot alerts と依存関係グラフを使用する任意のリポジトリで Dependabot security updates を有効にすることができます。 詳細については、「Dependabot security updatesについて」を参照してく� さい。

個々のリポジトリ、または個人アカウントまたは組織が所有するすべてのリポジトリに対して Dependabot security updates を無効にすることができます。

サポートされているリポジトリ

個人アカウントまたは Organization で Dependabot security updates の [新しいリポジトリに対して自動的に有効する] が有効になっている� �合、新しく作成されたリポジトリの Dependabot security updates が、GitHub によって、自動的に有効になります。 詳しくは、「リポジトリの Dependabot security updates の管理」を参照してく� さい。

セキュリティ更新が有効になっているリポジトリのフォークを作成すると、GitHub によってフォークの Dependabot security updates が自動的に無効になります。 その後、特定のフォークで Dependabot security updates を有効にするかどうかを決定できます。

リポジトリでセキュリティアップデートが有効になっておらず、理由が不明の� �合は、まず以下の手� �のセクションに記載されている指示に従って有効にしてみてく� さい。 セキュリティ更新プログラ� がま� 機能していない� �合は、サイト管理者 に問い合わせてく� さい。

リポジトリの Dependabot security updates を管理する

個人アカウントまたは Organization が所有するすべての対象のリポジトリの Dependabot security updates を有効または無効にすることができます。 詳細については、「個人アカウントのセキュリティと分析の設定を管理する」または「組織のセキュリティと分析の設定を管理する」を参照してく� さい。

個別のリポジトリに対して Dependabot security updates を有効または無効にすることもできます。

個別のリポジトリに対して Dependabot security updates を有効または無効にする

  1. で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下の [ 設定] をクリックします。 リポジトリの設定ボタン
  2. サイドバーで、 [セキュリティと分析] をクリックします。 リポジトリ設定の [セキュリティと析] タブ
  3. [コードのセキュリティと分析] の [Dependabot セキュリティ更新プログラ� ] の右側にある [有効] または [無効] をクリックして、機能を有効または無効にします。 [コードのセキュリティと分析] セクションと Dependabot security updates を有効にするボタンのスクリーンショット

構成ファイルを使用した既定の動作のオーバーライド

リポジトリに dependabot.yml ファイルを追� することで、Dependabot security updates の既定の動作をオーバーライドできます。 詳細については、「dependabot.yml ファイルの構成オプション」を参照してく� さい。

セキュリティ更新プログラ� のみを必要とし、バージョン更新プログラ� を除外する� �合は、特定の package-ecosystem のバージョン更新プログラ� を防ぐために open-pull-requests-limit0 に設定できます。 詳しくは、「open-pull-requests-limit」をご覧く� さい。

# Example configuration file that:
#  - Ignores lodash dependency
#  - Disables version-updates

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "daily"
    ignore:
      - dependency-name: "lodash"
        # For Lodash, ignore all updates
    # Disable version updates for npm dependencies
    open-pull-requests-limit: 0

セキュリティ更新プログラ� で使用可能な構成オプションの詳しい情� �については、「dependabot.yml ファイルの構成オプション」をご覧く� さい。

参考資料