Skip to main content

Dependabot アラートについて

リポジトリで脆弱な依存関係を使用していることが検出された場合、GitHub Enterprise Server から Dependabot alertsが送信されます。

Dependabot alerts について

Dependabot alerts により、コードが安全でないパッケージに依存していることが通知されます。

セキュリティ上の脆弱性があるパッケージにコードが依存している場合、プロジェクトまたはそれを使用するユーザーにさまざまな問題が発生する可能性があります。 できるだけ早く、セキュリティで保護されたバージョンのパッケージにアップグレードする必要があります。

詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」をご覧ください。

安全でない依存関係を検出する

Dependabot により、安全でない依存関係を検出するためにスキャンが実行され、以下の場合に Dependabot alertsが送信されます。

  • 新しいアドバイザリ データが GitHub.com から 1 時間ごとに your GitHub Enterprise Server instance に同期されたとき。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」をご覧ください。

    注: GitHub によってレビューされたアドバイザリのみが、Dependabot alertsをトリガーします。

  • リポジトリの依存関係グラフが変更された場合。 たとえば、共同作成者がコミットをプッシュして、依存しているパッケージまたはバージョンを変更したとき。 詳細については、「依存関係グラフの概要」を参照してください。

さらに、GitHub は、リポジトリの既定のブランチに対して行われた pull request で追加、更新、削除される依存関係を確認し、プロジェクトのセキュリティを低下させる変更にフラグを立てることができます。 これにより、コードベースまで達した後ではなくその前に、脆弱な依存関係を見つけて対処できます。 詳細については、「プル リクエスト内の依存関係の変更をレビューする」を参照してください。

GitHub Enterprise Server で安全でない依存関係が検出されるエコシステムの一覧については、「サポートされているパッケージ エコシステム」を参照してください。

注: マニフェストとロック ファイルを最新の状態に保つことが重要です。 依存関係グラフに現在の依存関係とバージョンが正確に反映されていない場合は、使用している安全でない依存関係のアラートを見逃す可能性があります。 また、使用しなくなった依存関係のアラートを受け取る場合もあります。

Dependabot alertsの構成について

Enterprise owners must enable Dependabot alerts for your GitHub Enterprise Server instance before you can use this feature. For more information, see "Enabling Dependabot for your enterprise."

GitHub Enterprise Server で脆弱な依存関係が特定されると、Dependabot アラートが生成され、リポジトリの [セキュリティ] タブとリポジトリの依存関係グラフにそれが表示されます。 アラートには、プロジェクト内の影響を受けるファイルへのリンクと、固定バージョンに関する情報が含まれます。 GitHub Enterprise Server は、影響を受けるリポジトリの保守担当者に、通知設定に従って新しいアラートについて通知します。 詳しい情報については、「Dependabot alerts の構成」を参照してください。

Dependabot security updatesが有効になっているリポジトリの場合、アラートには、脆弱性を解決する最小バージョンにマニフェストまたはロック ファイルを更新するための pull request へのリンクも含まれる場合があります。 詳細については、「Dependabot security updatesについて」を参照してください。

: GitHub Enterprise Server のセキュリティ機能は、すべての脆弱性を捕捉するものではありません。 GitHub Advisory Database は頻繁に更新されており、最新の情報を使用したアラートが生成されます。 ただし、すべてを捕捉することや、一定の期間内に確実に既知の脆弱性について通知することはできません。 これらの機能は、人間が各依存関係をレビューして、潜在的な脆弱性やその他のイシューを確認する作業の代わりになるものではありません。必要に応じて、セキュリティ サービスに相談したり、依存関係の詳しいレビューを実施したりすることをお勧めします。

Dependabot alertsへのアクセス

リポジトリの依存関係グラフにおいて、特定のプロジェクトに影響するすべてのアラートを見ることができます。 詳しくは、「Dependabot alerts の表示と更新」を参照してください。

デフォルトでは、新しいDependabot alertsに関して影響を受けるリポジトリに管理権限を持っている人に通知を行います。

リポジトリの Dependabot alertsに関する通知を受け取るには、これらのリポジトリを監視し、"すべてのアクティビティ" 通知を受け取るようにサブスクライブするか、"セキュリティ アラート" を含めるようにカスタム設定を構成する必要があります。 詳細については、「個々のリポジトリのウォッチ設定の構成」を参照してください。 通知の配信方法と、通知が送信される頻度を選択できます。 詳しい情報については、「Dependabot alerts の通知を構成する」を参照してください。

GitHub Advisory Database 内の特定のアドバイザリに対応するすべての Dependabot alertsを見ることもできます。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」をご覧ください。

参考資料