依存関係のレビューについて
依存関係レビューを使うと、すべてのPull Reqeustにおける以下の変更による依存関係の変化とセキュリティについての影響を理解しやすくなります。 Pull Requestの"Files Changed(変更されたファイル)"タブ上のリッチdiffで、依存関係の変化を理解しやすく可視化します。 依存関係レビューは、以下のことを知らせます:
- リリース日と合わせて、追加、削除、更新された依存関係。
- これらのコンポーネントを使うプロジェクトの数。
- これらの依存関係に関する脆弱性のデータ。
Before you can use dependency review, you must enable the dependency graph and connect GitHub Enterprise Serverインスタンス to GitHub.com. 詳しい情報については、「GitHub Enterprise Serverの脆弱性のある依存関係に関するセキュリティアラートの有効化」を参照してください。
依存関係のレビューでは、「左にシフト」することができます。 提供された予測情報を使用して、本番環境に至る前に脆弱性のある依存関係をキャッチできます。 詳しい情報については「依存関係のレビュー」を参照してください。
プルリクエスト内の依存関係を確認する
-
リポジトリ名の下で、クリックします Pull requests
-
プルリクエストのリストで、レビューしたいプルリクエストをクリックします。
-
プルリクエストで Files changed(変更されたファイル)をクリックしてください。
-
プルリクエストに多数のファイルが含まれている場合は、[File filter] ドロップダウンメニューを使用して、依存関係を記録しないすべてのファイルを折りたたみます。 これにより、レビューを依存関係の変更に焦点を絞りやすくなります。
The dependency review provides a clearer view of what has changed in large lock files, where the source diff is not rendered by default.
Note: Dependency review rich diffs are not available for committed static JavaScript files like
jquery.js
. -
マニフェストまたはロックファイルのヘッダの右側で、リッチ diff ボタンをクリックして依存関係のレビューを表示します。
-
依存関係のレビューにリストされている依存関係を確認します。
脆弱性のある追加または変更された依存関係が最初に一覧表示され、次に重要度、依存関係名の順に並べられます。 これは、最も重要度の高い依存関係が、常に依存関係レビューの最上位に表示されるということです。 その他の依存関係は、依存関係名のアルファベット順に一覧表示されます。
各依存関係の横にあるアイコンは、このプルリクエストで依存関係が追加された ()、更新された ()、削除された () ことを示しています。
その他の情報は次のとおりです。
- 新規、更新、または削除された依存関係のバージョンまたはバージョン範囲。
- 依存関係の特定のバージョンの場合:
- 依存関係のリリース時期。
- このソフトウェアに依存しているプロジェクトの数。 この情報は、依存関係グラフから取得されます。 依存関係の数を確認すると、誤って間違った依存関係を追加することを防ぐことができます。
- この依存関係で使用されるライセンス(この情報が利用可能な場合)。 これは、プロジェクトで特定のライセンスが使用されているコードを避ける必要がある場合に役立ちます。
依存関係に既知の脆弱性がある場合、警告メッセージには次のものが含まれます。
- 脆弱性の簡単な説明。
- Common Vulnerabilities and Exposures (CVE) または GitHub Security Advisories (GHSA) 識別番号。 この ID をクリックすると、脆弱性の詳細を確認できます。
- 脆弱性の重要度。
- 脆弱性が修正された依存関係のバージョン。 誰かのプルリクエストを確認している場合は、パッチを適用したバージョンまたはそれ以降のリリースに依存関係を更新するようにコントリビューターに依頼することができます。
-
依存関係を変化させないような変更がマニフェストあるいはロックファイルに行われているかもしれず、あるいはGitHubがパースできず、その結果として依存関係レビューに現れてこない依存関係があるかもしれないので、ソースdiffをレビューしたいこともあるでしょう。
ソースdiffのビューに戻るには、ボタンをクリックしてください。