Skip to main content
ドキュメントへの更新が頻繁に発行されており、このページの翻訳はまだ行われている場合があります。 最新の情報については、「英語のドキュメント」を参照してください。

このバージョンの GitHub Enterprise はこの日付をもって終了となりました: 2023-03-15. 重大なセキュリティの問題に対してであっても、パッチリリースは作成されません。 パフォーマンスの向上、セキュリティの向上、新機能の向上を図るために、最新バージョンの GitHub Enterprise にアップグレードします。 アップグレードに関するヘルプについては、GitHub Enterprise サポートにお問い合わせください

Dependabot アラートについて

リポジトリで脆弱な依存関係を使用していることが検出された場合、GitHub Enterprise Server から Dependabot alertsが送信されます。

Dependabot alerts は、エンタープライズ管理者がエンタープライズに対してその機能を有効にしている場合、GitHub Enterprise Server のリポジトリ (ユーザー所有と組織所有) で、無料で使用できます。

Dependabot alerts について

Dependabot alerts により、コードが安全でないパッケージに依存していることが通知されます。

セキュリティ上の脆弱性があるパッケージにコードが依存している場合、プロジェクトまたはそれを使用するユーザーにさまざまな問題が発生する可能性があります。 できるだけ早く、セキュリティで保護されたバージョンのパッケージにアップグレードする必要があります。

詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」を参照してください。

安全でない依存関係を検出する

Dependabot により、安全でない依存関係を検出するためにスキャンが実行され、以下の場合に Dependabot alertsが送信されます。

  • 新しいアドバイザリ データが GitHub.com から 1 時間ごとに お使いの GitHub Enterprise Server インスタンス に同期されたとき。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」を参照してください。

    注: GitHub によってレビューされたアドバイザリのみが、Dependabot alertsをトリガーします。

  • リポジトリの依存関係グラフが変更された場合。 たとえば、共同作成者がコミットをプッシュして、依存しているパッケージまたはバージョンを変更したとき。 詳しくは、「依存関係グラフについて」を参照してください。

さらに、GitHub は、リポジトリの既定のブランチに対して行われた pull request で追加、更新、削除される依存関係を確認し、プロジェクトのセキュリティを低下させる変更にフラグを立てることができます。 これにより、コードベースまで達した後ではなくその前に、脆弱な依存関係を見つけて対処できます。 詳細については、「プル リクエスト内の依存関係の変更をレビューする」を参照してください。

GitHub Enterprise Server が安全でない依存関係を検出するエコシステムの一覧については、「依存関係グラフについて」を参照してください。

注: マニフェストとロック ファイルを最新の状態に保つことが重要です。 依存関係グラフに現在の依存関係とバージョンが正確に反映されていない場合は、使用している安全でない依存関係のアラートを見逃す可能性があります。 また、使用しなくなった依存関係のアラートを受け取る場合もあります。

Dependabot alertsの構成について

この機能を使うには、エンタープライズ所有者が お使いの GitHub Enterprise Server インスタンス の Dependabot alerts を有効にする必要があります。 詳しくは、「エンタープライズ向けの Dependabot の有効化」を参照してください。

GitHub Enterprise Server によって脆弱な依存関係、Dependabot アラートが生成され、リポジトリの [セキュリティ] タブとリポジトリの依存関係グラフに表示されます。 アラートには、プロジェクト内の影響を受けるファイルへのリンクと、固定バージョンに関する情報が含まれます。 GitHub Enterprise Server は、影響を受けるリポジトリの保守担当者に、通知設定に従って新しいアラートについて通知します。 詳しくは、「Dependabot アラートの通知を構成する」を参照してください。

Dependabot security updatesが有効になっているリポジトリの場合、アラートには、脆弱性を解決する最小バージョンにマニフェストまたはロック ファイルを更新するための pull request へのリンクも含まれる場合があります。 詳しくは、「Dependabot のセキュリティ アップデート」を参照してください。

: GitHub Enterprise Server のセキュリティ機能は、すべての脆弱性を捕捉するものではありません。 GitHub Advisory Database は頻繁に更新されており、最新の情報を使用したアラートが生成されます。 ただし、すべてを捕捉することや、一定の期間内に確実に既知の脆弱性について通知することはできません。 これらの機能は、人間が各依存関係をレビューして、潜在的な脆弱性やその他のイシューを確認する作業の代わりになるものではありません。必要に応じて、セキュリティ サービスに相談したり、依存関係の詳しいレビューを実施したりすることをお勧めします。

Dependabot alertsへのアクセス

リポジトリの依存関係グラフの特定のプロジェクトに影響するすべてのアラートを確認できます。 詳しくは、「Dependabot アラートの表示と更新」を参照してください。

デフォルトでは、新しいDependabot alertsに関して影響を受けるリポジトリに管理権限を持っている人に通知を行います。

リポジトリの Dependabot alertsに関する通知を受け取るには、これらのリポジトリを監視し、"すべてのアクティビティ" 通知を受け取るようにサブスクライブするか、"セキュリティ アラート" を含めるようにカスタム設定を構成する必要があります。 詳しくは、「通知を設定する」を参照してください。 通知の配信方法と、通知が送信される頻度を選択できます。詳細については、「Dependabot アラートの通知を構成する」を参照してください。

GitHub Advisory Database 内の特定のアドバイザリに対応するすべての Dependabot alertsを見ることもできます。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」を参照してください。

参考資料