Skip to main content

依存関係レビューの設定

依存関係レビューを使って、プロジェクトに追加される前に脆弱性を捕捉できます。

依存関係のレビューについて

依存関係レビューを使うと、すべてのPull Reqeustにおける以下の変更による依存関係の変化とセキュリティについての影響を理解しやすくなります。 Pull Requestの"Files Changed(変更されたファイル)"タブ上のリッチdiffで、依存関係の変化を理解しやすく可視化します。 依存関係レビューは、以下のことを知らせます:

  • リリース日と合わせて、追加、削除、更新された依存関係。
  • これらのコンポーネントを使うプロジェクトの数。
  • これらの依存関係に関する脆弱性のデータ。

詳しい情報については「依存関係レビューについて」及び「Pull Request中での依存関係の変化のレビュー」を参照してください。

依存関係レビューの設定について

依存関係レビューは、依存関係グラフがGitHub Enterprise Serverインスタンスで有効化されており、OrganizationもしくはリポジトリでAdvanced Securityが有効化されている場合に利用できます。 詳しい情報については「EnterpriseでのGitHub Advanced Securityの有効化」を参照してください。

依存関係グラフが有効化されているかの確認

  1. GitHub Enterprise Serverインスタンスで、リポジトリのメインページにアクセスしてください。

  2. リポジトリ名の下で Settings(設定)をクリックしてください。 リポジトリの設定ボタン

  3. In the "Security" section of the sidebar, click Code security and analysis.

  4. "Configure security and analysis features(セキュリティと分析機能の設定)"の下で、依存関係グラフが有効化されているかを確認してください。

  5. 依存関係グラフが有効化されているなら、"GitHub Advanced Security"の隣のEnable(有効化)をクリックして、依存関係レビューを含むAdvanced Securityを有効化してください。 Enterpriseが利用できるAdvanced Securityのライセンスを持っていない場合、有効化のボタンは無効になっています。Screenshot of "Code security and analysis" features"