Skip to main content

このバージョンの GitHub Enterprise サーバーはこの日付をもって終了となりました: 2023-09-12. 重大なセキュリティの問題に対してであっても、パッチリリースは作成されません。 パフォーマンスの向上、セキュリティの向上、新機能の向上を図るために、最新バージョンの GitHub Enterprise サーバーにアップグレードしてください。 アップグレードに関するヘルプについては、GitHub Enterprise サポートにお問い合わせください

アプライアンスの依存関係レビューを構成する

pull request をレビューするときにユーザーが依存関係の変化を理解できるように、お使いの GitHub Enterprise Server インスタンス の依存関係レビューを有効または無効にしたり、構成したりできます。

依存関係の確認は、GitHub Enterprise Server 内にある Organization 所有のリポジトリで利用できます。 この機能には、GitHub Advanced Security のライセンスが必要です。 詳しくは、「GitHub Advanced Security について」を参照してください。

依存関係の確認について

依存関係レビューを使うと、すべてのPull Reqeustにおける以下の変更による依存関係の変化とセキュリティについての影響を理解しやすくなります。pull request の [Files Changed](変更されたファイル) タブ上のリッチ diff で依存関係の変更をわかりやすく視覚化できます。 依存関係レビューは、以下のことを知らせます:

  • リリース日と合わせて、追加、削除、更新された依存関係。
  • これらのコンポーネントを使うプロジェクトの数。
  • これらの依存関係に関する脆弱性のデータ。

ライセンス チェック、pull request のブロック、CI/CD インテグレーションなどの一部の追加機能は、依存関係レビュー アクションを行うと利用できます。

ライセンスに GitHub Advanced Security が含まれているかどうかを確認する

エンタープライズ設定を確認することで、エンタープライズに GitHub Advanced Security ライセンスがあるかどうかを確認できます。 詳しくは、「自社で GitHub Advanced Security を有効にする」を参照してください。

依存関係レビューの前提条件

依存関係レビューを有効および無効にする

依存関係レビューを有効または無効にするには、インスタンスに対して依存関係グラフを有効または無効にする必要があります。

詳しくは、「企業の依存関係グラフの有効化」を参照してください。

GitHub Actions を使って依存関係レビューを実行する

: 現在、依存関係レビュー アクション はパブリック ベータ段階であり、変更される可能性があります。

依存関係レビュー アクションは、GitHub Enterprise Server のインストールに含まれています。 これは、GitHub Advanced Security と依存関係グラフが有効になっているすべてのリポジトリで使うことができます。

依存関係レビュー アクション は、依存関係の変更について pull request をスキャンし、新しい依存関係に既知の脆弱性がある場合はエラーを発生させます。 アクションは、2 つのリビジョン間の依存関係を比較し、相違点を報告する API エンドポイントによってサポートされています。

アクションと API エンドポイントについて詳しくは、dependency-review-action ドキュメントと、と API ドキュメントの 「依存関係の確認」を参照してください。

ユーザーは、GitHub Actions ワークフローを使って、依存関係レビュー アクションを実行します。 GitHub Actions のランナーをまだセットアップしていない場合、ユーザーを有効にしてワークフローを実行するには、これを行う必要があります。 セルフホストランナーは、リポジトリ、Organization、または Enterprise アカウントレベルでプロビジョニングできます。 詳細については、「セルフホステッド ランナーの概要」と「自己ホストランナーの追加」を参照してください。