Skip to main content

Dependabot アラートの通知を構成する

Dependabot alerts に関する通知の受信方法を最適化する

Dependabot alerts の通知について

Dependabot でリポジトリ中に脆弱性のある依存関係またはマルウェアを検出すると、Dependabot アラートが生成され、そのリポジトリの [Security](セキュリティ) タブに表示されます。 GitHub Enterprise Server では、影響を受けるリポジトリのメンテナーに、その通知設定に従って新しいアラートに関する通知が行われます。

デフォルトでは、Enterprise のオーナーが Enterprise での通知のためのメールを設定していれば、あなたはメールで Dependabot alerts を受け取ることになります。

Enterprise のオーナーは、通知なしで Dependabot alerts を有効にすることもできます。 詳細については、「エンタープライズでの Dependabot の有効化」を参照してください。

Dependabot alertsの通知設定

新しい Dependabot のアラートが検出されると、GitHub Enterprise Server によって、通知の設定に従って、リポジトリについて Dependabot alerts にアクセスできるすべてのユーザーに通知されます。 あなたがリポジトリを監視しており、セキュリティ アラートまたはリポジトリ上のすべてのアクティビティの通知を有効にしていて、リポジトリを無視していない場合は、アラートが通知されます。 詳細については、「通知の設定」を参照してください。

各ページの上部に表示される [Manage notifications] ドロップダウン から、自分または Organization の通知設定を構成できます。 詳細については、「通知の設定」を参照してください。

通知の配信方法と、通知が送信される頻度を選択できます。 既定では、エンタープライズ所有者がインスタンスで通知用にメールを構成している場合、Dependabot alerts を次のように受け取ります。

  • メール。Dependabotがリポジトリで有効にされていて、新しいマニフェスト ファイルがリポジトリにコミットされたときに、重要度が重大または高の新しい脆弱性が見つかると、メールが送信されます ( [脆弱性が見つかるたびにメールを送る] オプション)。
  • ユーザー インターフェイス。セキュリティで保護されていない依存関係がある場合、リポジトリのファイル ビューとコード ビューに警告が表示されます ( [UI alerts](UI アラート) オプション)。
  • コマンド ライン。セキュリティで保護されていない依存関係を使用してリポジトリにプッシュすると、警告がコールバックとして表示されます ( [Command Line](コマンド ライン) オプション)。
  • インボックス (Web 通知として)。 Web 通知は、Dependabot がリポジトリで有効にされていて、新しいマニフェスト ファイルがリポジトリにコミットされたときに、重要度が重大または高の新しい脆弱性が見つかった場合に送信されます ( [Web] オプション)。
  • GitHub Mobileでは、Web通知として表示されます。 詳細については、「GitHub Mobile でプッシュ通知を有効にする」を参照してください。

注: メールと Web/GitHub Mobile の通知は次のとおりです。

  • Dependabot がリポジトリで有効にされているとき、または新しいマニフェスト ファイルがリポジトリにコミットされたときは、リポジトリごと

  • 新しい脆弱性が検出されたときは、Organization ごと

Dependabot alerts に関する通知を受け取る方法をカスタマイズできます。 たとえば、 [脆弱性の要約をメールで送る][週単位のセキュリティ メール ダイジェスト] オプションを使用すると、最大 10 個のリポジトリについてアラートを要約した週単位のダイジェスト メールを受け取ることができます。

Dependabot alerts オプション

注: GitHub で通知をフィルター処理して、Dependabot alerts を表示できます。 詳細については、「受信トレイからの通知の管理」を参照してください。

1 つ以上のリポジトリに影響する Dependabot alerts のメール通知には、X-GitHub-Severity ヘッダー フィールドが含まれます。 X-GitHub-Severity ヘッダー フィールドの値を使用して、Dependabot alerts のメール通知をフィルター処理できます。 詳しくは、通知の構成に関するページをご覧ください。

Dependabot alerts の通知によるノイズを軽減する方法

Dependabot alertsの通知をあまりに多く受け取ることが心配なら、週次のメールダイジェストにオプトインするか、Dependabot alertsを有効化したままで通知をオフにすることをおすすめします。 引き続き移動して、リポジトリの [セキュリティ] タブに Dependabot alerts を表示することができます。詳しくは、「Dependabot alertsの表示と更新」を参照してください。

参考資料