Skip to main content

依存関係レビューの構成

依存関係レビューを使用して、脆弱性がプロジェクトに追加される前に捕捉できます。

依存関係の確認について

依存関係レビューを使うと、すべてのPull Reqeustにおける以下の変更による依存関係の変化とセキュリティについての影響を理解しやすくなります。pull request の [Files Changed](変更されたファイル) タブ上のリッチ diff で依存関係の変更をわかりやすく視覚化できます。 依存関係レビューは、以下のことを知らせます:

  • リリース日と合わせて、追加、削除、更新された依存関係。
  • これらのコンポーネントを使うプロジェクトの数。
  • これらの依存関係に関する脆弱性のデータ。

詳細については、「依存関係レビューについて」と「pull request 内の依存関係の変更をレビューする」を参照してください。

依存関係レビューの構成について

依存関係の確認は、your GitHub Enterprise Server instanceに対して依存関係グラフが有効になっており、Advanced Security が組織またはリポジトリで有効になっている場合に使用できます。詳細については、「エンタープライズで GitHub Advanced Security を有効にする」を参照してください。

依存関係グラフが有効になっているかどうかを確認する

  1. On your GitHub Enterprise Server instance, navigate to the main page of the repository. 1. リポジトリ名の下の [ 設定] をクリックします。 リポジトリの設定ボタン

  2. In the "Security" section of the sidebar, click Code security and analysis.

  3. [Configure security and analysis features](セキュリティと分析機能の構成) で、依存関係グラフが有効になっているかどうかを確認します。

  4. 依存関係グラフが有効である場合は、"GitHub Advanced Security" の横にある [Enable](有効にする) をクリックして、依存関係レビューを含む Advanced Security を有効にします。 エンタープライズに Advanced Security に使用できるライセンスがない場合、[有効にする] ボタンは無効です。"コードのセキュリティと分析" 機能のスクリーンショット