GitHub Enterprise Server の Dependabot について
Dependabot を使用すると、お使いの GitHub Enterprise Server インスタンス のユーザーが依存関係の脆弱性を見つけて修正するのに役立ちます。Dependabot alerts を有効にして、脆弱な依存関係についてユーザーに通知し、Dependabot updates を有効にして脆弱性を修正し、依存関係を最新バージョンに更新することができます。
Dependabot は、お使いの GitHub Enterprise Server インスタンス のサプライ チェーンのセキュリティを強化するために使用できる多くの機能の 1 つに過ぎません。 その他の機能について詳しくは、「Enterprise のサプライ チェーンのセキュリティについて」を参照してください。
Dependabot alerts について
Dependabot alerts により、GitHub は、GitHub Advisory Database のデータと依存関係グラフ サービスを使い、リポジトリ内の安全でない依存関係を特定して お使いの GitHub Enterprise Server インスタンス にアラートを作成します。
アドバイザリは、以下のソースから GitHub Advisory Database に追加されます。
- GitHubで報告されたセキュリティアドバイザリ
- National Vulnerability Database
- npm セキュリティ アドバイザリ データベース
- FriendsOfPHP データベース
- Go Vulncheck データベース
- GitHub Packaging Advisory データベース
- Ruby Advisory データベース
- RustSec Advisory データベース
- コミュニティのコード提供。 詳細については、「https://github.com/github/advisory-database/pulls」を参照してください。
アドバイザリのインポート元として他のデータベースに心当たりがある場合は、https://github.com/github/advisory-database で issue をオープンしてお知らせください。
エンタープライズに対して Dependabot alerts を有効にすると、脆弱性データが GitHub Advisory Database からインスタンスに 1 時間に 1 回同期されます。 GitHub でレビューされたアドバイザリのみが同期されます。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」を参照してください。
また、脆弱性データはいつでも手動で同期することができます。 詳しくは、「エンタープライズの脆弱性データの表示」を参照してください。
注: Dependabot alerts を有効にすると、お使いの GitHub Enterprise Server インスタンス のコードやコードに関する情報は、GitHub.com にアップロードされません。
お使いの GitHub Enterprise Server インスタンス は、脆弱性に関する情報を受け取ると、影響を受けるバージョンの依存関係を使用する お使いの GitHub Enterprise Server インスタンス 内のリポジトリを識別して、Dependabot alerts を生成します。 新しい Dependabot alerts についてユーザーに自動的に通知するかどうかを選択できます。
Dependabot alerts が有効になっているリポジトリの場合、マニフェスト ファイルまたはロック ファイルを含む既定のブランチへの任意のプッシュでスキャンがトリガーされます。 さらに、新しい脆弱性レコードが お使いの GitHub Enterprise Server インスタンス に追加されると、GitHub Enterprise Server は お使いの GitHub Enterprise Server インスタンス のすべての既存のリポジトリをスキャンして、脆弱なリポジトリについてのアラートを生成します。 詳しくは、「Dependabot アラートについて」を参照してください。
Dependabot updates について
Dependabot alerts を有効にした後、Dependabot updates を有効にすることができます。 Dependabot updates が お使いの GitHub Enterprise Server インスタンス に対して有効になっている場合、ユーザーはリポジトリを構成して、依存関係の更新とセキュリティ保護が自動的に行われるようにすることができます。
注: GitHub Enterprise Server の Dependabot updates には、セルフホステッド ランナーを含む GitHub Actions が必要です。
既定では、Dependabot で使用される GitHub Actions ランナーは、上流パッケージ マネージャーから更新されたパッケージをダウンロードするために、インターネットにアクセスする必要があります。 GitHub Connect を利用する Dependabot updates の場合、インターネット アクセスにより、GitHub.com でホストされる依存関係とアドバイザリへのアクセスを可能にするトークンがランナーに提供されます。
Dependabot updates では、GitHub によって、依存関係を更新するためのプル要求が 2 つの方法で自動的に作成されます。
- Dependabot version updates : 追跡対象の依存関係の新しいバージョンがリリースされたときに Dependabot がプル要求を作成できるように、ユーザーは Dependabot 構成ファイルをリポジトリに追加します。 詳しくは、「GitHub Dependabot のバージョンアップデートについて」を参照してください。
- Dependabot security updates : ユーザーは、GitHub でリポジトリの依存関係グラフのいずれかの依存関係で脆弱性が検出されたときに、Dependabot がプル要求を作成できるようにリポジトリ設定を切り替えます。 詳細については、「Dependabot アラートについて」および「Dependabot のセキュリティ アップデート」を参照してください。
Dependabot alerts の有効化
Dependabot alerts を有効にする前に、次のことを行います。
- GitHub Connect を有効にする必要がある。 詳しくは、「GitHub Connect の管理」を参照してください。
- 依存関係グラフを有効にする必要がある。 詳しくは、「企業の依存関係グラフの有効化」をご覧ください。
-
GitHub Enterprise Server の右上で、ご自分のプロファイル写真をクリックしてから、 [Enterprise 設定] をクリックします。
![GitHub Enterprise Server のプロファイル写真のドロップダウン メニューの [自分の Enterprise]](/assets/cb-35568/images/enterprise/settings/enterprise-settings.png)
-
[Dependabot] の [ユーザーはオープン ソース コードの依存関係の脆弱性アラートを受け取ることができる] の右側にあるドロップダウン メニューを選択し、 [有効 (通知なし)] をクリックします。 必要に応じて、通知ありでアラートを有効にするには、 [有効 (通知あり)] をクリックします。
![Dependabot alerts の [有効] ドロップダウン メニューのスクリーンショット。使用可能なオプションが表示されています。](/assets/cb-51262/images/enterprise/site-admin-settings/dependabot-alerts-dropdown.png)
ヒント: メールの過負荷を避けるため、最初の数日間は Dependabot alerts を通知なしに設定することをお勧めします。 数日後、通知を有効化して、通常どおり Dependabot alerts を受信できます。
![GitHub Enterprise Server のプロファイル写真のドロップダウン メニューの [自分の Enterprise]](/assets/cb-35568/mw-1000/images/enterprise/settings/enterprise-settings.webp)
![Dependabot alerts の [有効] ドロップダウン メニューのスクリーンショット。使用可能なオプションが表示されています。](/assets/cb-51262/mw-1000/images/enterprise/site-admin-settings/dependabot-alerts-dropdown.webp)
Dependabot updates の有効化
エンタープライズで Dependabot alerts を有効にした後、Dependabot updates を有効にできます。
Dependabot updates を有効にする前に、セルフホステッド ランナーで GitHub Actions を使用するように お使いの GitHub Enterprise Server インスタンスを構成する必要があります。 詳しくは、「GitHub Enterprise Server の GitHub Actions を使い始める」を参照してください。
エンタープライズでクラスタリングを使用している場合、Dependabot updates は GitHub Enterprise Server ではサポートされません。
注: 依存関係グラフを有効にすると、Dependabot アクションを使用できるようになります。 脆弱性や無効なライセンスが導入される場合、アクションではエラーが発生します。 アクションの詳細と、最新バージョンをダウンロードする方法の手順については、「公式のバンドルされたアクションの最新バージョンを使用する」を参照してください。
-
http(s)://HOSTNAME/loginで お使いの GitHub Enterprise Server インスタンス にサインインします。 1. GitHub Enterprise Server の管理アカウントから、任意のページの右上隅で をクリックします。 -
[サイト管理者] ページにまだ表示されていない場合は、左上隅の [サイト管理者] をクリックします。 1. [ サイト管理者] サイドバーで [Management Console] をクリックします。 1. [設定] サイドバーで [セキュリティ] をクリックします。
-
[セキュリティ] で、 Dependabot security updates を選択します。
-
[設定] サイドバーで [設定の保存] をクリックします。
注: [Management Console] に設定を保存すると、システム サービスが再起動され、ユーザーに表示されるダウンタイムが発生する可能性があります。
-
設定の実行が完了するのを待ってください。
-
[Visit your instance](インスタンスにアクセスする) をクリックします。
-
依存関係を更新する pull request を作成するように、専用セルフホステッド ランナーを構成します。 これは、ワークフローで特定のランナー ラベルが使われるために必要です。 詳しくは、「エンタープライズでの Dependabot 更新プログラムのセルフホステッド ランナーの管理」を参照してください。
-
GitHub Enterprise Server の右上で、ご自分のプロファイル写真をクリックしてから、 [Enterprise 設定] をクリックします。
-
[Dependabot] で、[ユーザーは脆弱でないオープン ソース コードの依存関係に簡単にアップグレードできる] の右側にある [有効] をクリックします。
Dependabot alerts を有効にする場合は、Dependabot security updates に対して GitHub Actions を設定することも検討する必要があります。 この機能により、開発者は依存関係の脆弱性を修正できます。 詳しくは、「エンタープライズでの Dependabot 更新プログラムのセルフホステッド ランナーの管理」を参照してください。
セキュリティを強化する必要がある場合は、プライベート レジストリを使用するように Dependabot を構成することをお勧めします。 詳しくは、「Dependabot のプライベート レジストリへのアクセスの構成」を参照してください。