Skip to main content

依存関係レビューの構成

依存関係レビューを使用して、脆弱性がプロジェクトに追加される前に捕捉できます。

依存関係の確認について

依存関係レビューを使うと、すべてのPull Reqeustにおける以下の変更による依存関係の変化とセキュリティについての影響を理解しやすくなります。 Pull Requestの"Files Changed(変更されたファイル)"タブ上のリッチdiffで、依存関係の変化を理解しやすく可視化します。 依存関係レビューは、以下のことを知らせます:

  • リリース日と合わせて、追加、削除、更新された依存関係。
  • これらのコンポーネントを使うプロジェクトの数。
  • これらの依存関係に関する脆弱性のデータ。

詳細については、「依存関係レビューについて」と「pull request 内の依存関係の変更をレビューする」を参照してください。

依存関係レビューの構成について

依存関係レビューを使用できるのは、your GitHub Enterprise Server instance に対して依存関係グラフが有効であり、組織またはリポジトリに対して Advanced Security が有効である場合です。 詳細については、「Enterprise での GitHub Advanced Security の有効化」を参照してください。

依存関係グラフが有効になっているかどうかを確認する

  1. your GitHub Enterprise Server instance で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下の [ 設定] をクリックします。 リポジトリの設定ボタン

  2. In the "Security" section of the sidebar, click Code security and analysis.

  3. [Configure security and analysis features](セキュリティと分析機能の構成) で、依存関係グラフが有効になっているかどうかを確認します。

  4. 依存関係グラフが有効である場合は、"GitHub Advanced Security" の横にある [Enable](有効にする) をクリックして、依存関係レビューを含む Advanced Security を有効にします。 エンタープライズに Advanced Security に使用できるライセンスがない場合、[Enable](有効にする) ボタンは無効です。[Code security and analysis](コードのセキュリティと分析) 機能のスクリーンショット"

dependency review action の構成

: 現在、dependency review action はパブリック ベータ段階であり、変更される可能性があります。

dependency review action では、pull request で依存関係の変更をスキャンし、新しい依存関係に既知の脆弱性がある場合にエラーを発生させます。 このアクションは、2 つのリビジョン間の依存関係を比較し、相違点を報告する API エンドポイントによってサポートされます。

アクションと API エンドポイントについて詳しくは、dependency-review-action のドキュメントと、API のドキュメントで「依存関係の確認」をご覧ください。

次の構成オプションを使用できます。

オプション必須使用法
fail-on-severityオプション重大度レベル (lowmoderatehighcritical) のしきい値を定義します。
アクションは、指定した重大度レベル以上の脆弱性を引き起こす pull request で失敗します。

この dependency review action サンプル ファイルは、これらの構成オプションを使用する方法を示しています。 この例では、アクションに対して、semver リリース番号 (v2.0.8 など) ではなく、短いバージョン番号 (v2) が使われています。 これにより、アクションの最新のマイナー バージョンを使うことができます。

YAML
name: 'Dependency Review'
on: [pull_request]

permissions:
  contents: read

jobs:
  dependency-review:
    runs-on: ubuntu-latest
    steps:
      - name: 'Checkout Repository'
        uses: actions/checkout@v3
      - name: Dependency Review
        uses: actions/dependency-review-action@v2
        with:
          # Possible values: "critical", "high", "moderate", "low" 
          fail-on-severity: critical

構成オプションの詳細については、「dependency-review-action」を参照してください。