Dependabot アラートの通知を構成する

Dependabot alerts の通知について

Dependabot によりリポジトリ内の脆弱な依存関係が検出されると、Dependabot アラートが生成され、そのリポジトリの [Security] (セキュリティ) タブに表示されます。 GitHub Enterprise Server では、影響を受けるリポジトリのメンテナーに、その通知設定に従って新しいアラートを通知します。

デフォルトでは、Enterprise のオーナーが Enterprise での通知のためのメールを設定していれば、あなたはメールで Dependabot alerts を受け取ることになります。

Enterprise のオーナーは、通知なしで Dependabot alerts を有効にすることもできます。 詳しくは、「エンタープライズ向けの Dependabot の有効化」を参照してください。

Dependabot alertsの通知設定

新しい Dependabot のアラートが検出されると、GitHub Enterprise Server によって、通知の設定に従って、リポジトリについて Dependabot alerts にアクセスできるすべてのユーザーに通知されます。 あなたがリポジトリを監視しており、セキュリティ アラートまたはリポジトリ上のすべてのアクティビティの通知を有効にしていて、リポジトリを無視していない場合は、アラートが通知されます。 詳しくは、「通知を設定する」を参照してください。

各ページの上部に表示される [Manage notifications] ドロップダウン から、自分または Organization の通知設定を構成できます。 詳しくは、「通知を設定する」を参照してください。

通知の配信方法と、通知が送信される頻度を選択できます。 既定では、Enterprise 所有者がインスタンスにおいて通知するようにメールを構成している場合、Dependabot alertsを受け取ります。

• インボックス (Web 通知として)。 Web 通知は、Dependabot がリポジトリで有効にされていて、新しいマニフェスト ファイルがリポジトリにコミットされたときに、重要度が重大または高の新しい脆弱性が見つかった場合に送信されます ( [GitHub 上] オプション)。
• メールでは、Dependabot がリポジトリで有効にされており、新しいマニフェスト ファイルがリポジトリにコミットされたときに重要度が重大または高の新しい脆弱性が見つかった場合、メールが送信されます ([Email] オプション)。
• コマンド ライン。セキュリティで保護されていない依存関係を使用してリポジトリにプッシュすると、警告がコールバックとして表示されます ( [CLI] オプション)。
• GitHub Mobileでは、Web通知として表示されます。 詳しくは、「通知を設定する」を参照してください。

Dependabot alertsに関する通知を受け取る方法をカスタマイズできます。 たとえば、 [脆弱性の要約をメールで送る] と [週単位のセキュリティ メール ダイジェスト] オプションを使用すると、最大 10 個のリポジトリについてアラートを要約した週単位のダイジェスト メールを受け取ることができます。

1 つ以上のリポジトリに影響する Dependabot alerts のメール通知には、X-GitHub-Severity ヘッダー フィールドが含まれます。 X-GitHub-Severity ヘッダー フィールドの値を使用して、Dependabot alerts のメール通知をフィルター処理できます。 詳しくは、「通知を設定する」をご覧ください。

Dependabot alerts の通知によるノイズを軽減する方法

Dependabot alertsの通知をあまりに多く受け取ることが心配なら、週次のメールダイジェストにオプトインするか、Dependabot alertsを有効化したままで通知をオフにすることをおすすめします。 Dependabot alerts は、リポジトリの [セキュリティ] タブで引き続き確認できます。詳しくは、「Dependabot アラートの表示と更新」をご覧ください。

参考資料

• 「通知を設定する」
• 「インボックスからの通知を管理する」