Skip to main content

エンタープライズ向けの Dependabot の有効化

Dependabot alerts と Dependabot updates を有効にすることで、your GitHub Enterprise Server instance のユーザーがコード依存関係の脆弱性を見つけて修正できるようにすることができます。

Who can use this feature

Enterprise owners can enable Dependabot.

GitHub Enterprise Server の Dependabot について

Dependabot を使用すると、your GitHub Enterprise Server instance のユーザーが依存関係の脆弱性を見つけて修正するのに役立ちます。Dependabot alerts を有効にして、脆弱な依存関係についてユーザーに通知し、Dependabot updates を有効にして脆弱性を修正し、依存関係を最新バージョンに更新することができます。

Dependabot alerts について

Dependabot alerts を使用して、GitHub ではリポジトリ内の安全でない依存関係を特定し、GitHub Advisory Database のデータと依存関係グラフ サービスを使用して、your GitHub Enterprise Server instance にアラートを作成します。

アドバイザリは、以下のソースから GitHub Advisory Database に追加されます。

エンタープライズに対して Dependabot alerts を有効にすると、脆弱性データが GitHub Advisory Database からインスタンスに 1 時間に 1 回同期されます。 GitHub でレビューされたアドバイザリのみが同期されます。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」をご覧ください。

また、脆弱性データはいつでも手動で同期することができます。 詳細については、「エンタープライズの脆弱性データの表示」を参照してください。

: Dependabot alerts を有効にすると、your GitHub Enterprise Server instance のコードやコードに関する情報は、GitHub.com にアップロードされません。

your GitHub Enterprise Server instance が脆弱性に関する情報を受け取ると、影響を受けるバージョンの依存関係を使用する your GitHub Enterprise Server instance 内のリポジトリを識別し、Dependabot alerts を生成します。 新しい Dependabot alerts についてユーザーに自動的に通知するかどうかを選択できます。

Dependabot alerts が有効になっているリポジトリの場合、マニフェスト ファイルまたはロック ファイルを含む既定のブランチへの任意のプッシュでスキャンがトリガーされます。 さらに、your GitHub Enterprise Server instance に新しい脆弱性レコードが追加されると、GitHub Enterprise Server では your GitHub Enterprise Server instance のすべての既存のリポジトリをスキャンし、脆弱なリポジトリについてのアラートを生成します。 詳細については、「Dependabot alertsについて」を参照してください。

Dependabot updates について

Dependabot alerts を有効にした後、Dependabot updates を有効にすることができます。 Dependabot updates が your GitHub Enterprise Server instance に対して有効になっている場合、ユーザーはリポジトリを構成して、依存関係の更新とセキュリティ保護が自動的に行われるようにすることができます。

: GitHub Enterprise Server の Dependabot updates には、セルフホステッド ランナーを含む GitHub Actions が必要です。

既定では、Dependabot で使用される GitHub Actions ランナーは、上流パッケージ マネージャーから更新されたパッケージをダウンロードするために、インターネットにアクセスする必要があります。 GitHub Connect を利用する Dependabot updates の場合、インターネット アクセスにより、GitHub.com でホストされる依存関係とアドバイザリへのアクセスを可能にするトークンがランナーに提供されます。

Dependabot updates では、GitHub によって、依存関係を更新するためのプル要求が 2 つの方法で自動的に作成されます。

  • Dependabot version updates : 追跡対象の依存関係の新しいバージョンがリリースされたときに Dependabot がプル要求を作成できるように、ユーザーは Dependabot 構成ファイルをリポジトリに追加します。 詳細については、「Dependabot version updates について」を参照してください。
  • Dependabot security updates : ユーザーは、GitHub でリポジトリの依存関係グラフのいずれかの依存関係で脆弱性が検出されたときに、Dependabot がプル要求を作成できるようにリポジトリ設定を切り替えます。 詳細については、「Dependabot alerts について」と「Dependabot security updates について」を参照してください。

Dependabot alerts の有効化

Dependabot alerts を有効にする前に、次のことを行います。

  1. GitHub Enterprise Server の右上で、ご自分のプロファイル写真をクリックしてから、 [Enterprise 設定] をクリックします。 GitHub Enterprise Server のプロファイル写真のドロップダウン メニューの [自分の Enterprise] 1. [Enterprise アカウント] サイドバーで、 [GitHub Connect] をクリックします。 [Enterprise アカウント] サイドバーの [Github Connect] タブ

  2. [Dependabot] の [ユーザーはオープン ソース コードの依存関係の脆弱性アラートを受け取ることができる] の右側にあるドロップダウン メニューを選択し、 [有効 (通知なし)] をクリックします。 必要に応じて、通知ありでアラートを有効にするには、 [有効 (通知あり)] をクリックします。

    脆弱性に対するリポジトリのスキャンを有効化するドロップダウンメニューのスクリーンショット

    ヒント: メールの過負荷を避けるため、最初の数日間は Dependabot alerts を通知なしに設定することをお勧めします。 数日後、通知を有効化して、通常どおり Dependabot alerts を受信できます。

Dependabot updates の有効化

エンタープライズで Dependabot alerts を有効にした後、Dependabot updates を有効にできます。

Dependabot updates を有効にする前に、セルフホステッド ランナーで GitHub Actions を使用するように your GitHub Enterprise Server instance を構成する必要があります。 詳細については、「GitHub Enterprise Server の GitHub Actions の概要」を参照してください。

エンタープライズでクラスタリングを使用している場合、Dependabot updates は GitHub Enterprise Server ではサポートされません。

  1. http(s)://HOSTNAME/login で your GitHub Enterprise Server instance にサインインします。 1. GitHub Enterprise Server の管理アカウントから、任意のページの右上隅の をクリックします。

    サイト管理者設定にアクセスするための宇宙船アイコンのスクリーンショット

  2. [サイト管理者] ページにまだ表示されていない場合は、左上隅の [サイト管理者] をクリックします。

    [サイト管理者] リンクのスクリーンショット 1. 左側のサイドバーで、 [Management Console] をクリックします。 左側のサイドバーの [[Management Console]] タブ 1. 左側のサイドバーで、[Security] (セキュリティ) をクリックします。 [Security](セキュリティ) サイドバー

  3. [セキュリティ] で、 Dependabot security updates を選択します。

    Dependabot security updates を有効または無効にするチェックボックスのスクリーンショット

  4. 左側のサイドバーで、 [設定の保存] をクリックします。

    [Management Console] の [設定の保存] ボタンのスクリーンショット

    注: [Management Console] に設定を保存すると、システム サービスが再起動され、ユーザーに表示されるダウンタイムが発生する可能性があります。

  5. 設定の実行が完了するのを待ってください。

    インスタンスの設定

  6. [Visit your instance](インスタンスにアクセスする) をクリックします。

  7. 依存関係を更新するプル要求を作成するようにセルフホステッド ランナーを構成します。 詳細については、「エンタープライズでの Dependabot updates のセルフホステッド ランナーの管理」を参照してください。

  8. GitHub Enterprise Server の右上で、ご自分のプロファイル写真をクリックしてから、 [Enterprise 設定] をクリックします。 GitHub Enterprise Server のプロファイル写真のドロップダウン メニューの [自分の Enterprise] 1. [Enterprise アカウント] サイドバーで、 [GitHub Connect] をクリックします。 [Enterprise アカウント] サイドバーの [Github Connect] タブ

  9. [Dependabot] で、[ユーザーは脆弱でないオープン ソース コードの依存関係に簡単にアップグレードできる] の右側にある [有効] をクリックします。

    脆弱な依存関係の更新を有効にするドロップダウン メニューのスクリーンショット

Dependabot alerts を有効にする場合は、Dependabot security updates に対して GitHub Actions を設定することも検討する必要があります。 この機能により、開発者は依存関係の脆弱性を修正できます。 詳細については、「エンタープライズでの Dependabot updates のセルフホステッド ランナーの管理」を参照してください。

セキュリティを強化する必要がある場合は、プライベート レジストリを使用するように Dependabot を構成することをお勧めします。 詳細については、「Dependabot に対する暗号化されたシークレットを管理する」を参照してください。