Skip to main content

Dependabot アラートの通知を構成する

Dependabot alerts に関する通知の受信方法を最適化する

Dependabot alerts の通知について

Dependabot によりリポジトリ内の脆弱な依存関係が検出されると、Dependabot アラートが生成され、そのリポジトリの [Security] (セキュリティ) タブに表示されます。 GitHub では、影響を受けるリポジトリのメンテナーに、その通知設定に従って新しいアラートを通知します。 Dependabot は、すべてのパブリック リポジトリで既定で有効で、プライベート リポジトリでは有効にする必要があります。 既定では、メールで Dependabot alerts が通知されます。 既定の全体の動作をオーバーライドするには、受信する通知の種類を選ぶか、https://github.com/settings/notifications のユーザー通知の設定ページで通知を完全にオフにします。

Dependabot では、マルウェアに対する Dependabot alertsは生成されません。 詳しくは、「GitHub Advisory Database について」を参照してください。

通知の設定に関係なく、Dependabot が最初に有効になっている場合、リポジトリ内で見つかったすべての脆弱な依存関係に関する通知は GitHub により、送信されません。 代わりに、通知設定で許可されている場合、Dependabot が有効になった後に特定された新しい脆弱な依存関係に関する通知を受け取ります。

Organization のオーナーの場合は、ワンクリックで Organization 内のすべてのリポジトリに対して Dependabot alerts を有効または無効にできます。 また、新しく作成されたリポジトリに対して Dependabot alerts を有効にするか無効にするかを設定することもできます。 詳しくは、「組織のセキュリティおよび分析設定を管理する」を参照してください。

Dependabot alertsの通知設定

新しい Dependabot のアラートが検出されると、GitHub によって、通知の設定に従って、リポジトリについて Dependabot alerts にアクセスできるすべてのユーザーに通知されます。 あなたがリポジトリを監視しており、セキュリティ アラートまたはリポジトリ上のすべてのアクティビティの通知を有効にしていて、リポジトリを無視していない場合は、アラートが通知されます。 詳しくは、「通知を設定する」を参照してください。

各ページの上部に表示される [Manage notifications] ドロップダウン から、自分または Organization の通知設定を構成できます。 詳しくは、「通知を設定する」を参照してください。

通知の配信方法と、通知が送信される頻度を選択できます。 既定では、通知が届きます。

  • インボックス (Web 通知として)。 Web 通知は、Dependabot がリポジトリで有効にされていて、新しいマニフェスト ファイルがリポジトリにコミットされたときに、重要度が重大または高の新しい脆弱性が見つかった場合に送信されます ( [GitHub 上] オプション)。
  • メールでは、Dependabot がリポジトリで有効にされており、新しいマニフェスト ファイルがリポジトリにコミットされたときに重要度が重大または高の新しい脆弱性が見つかった場合、メールが送信されます ([Email] オプション)。
  • コマンド ライン。セキュリティで保護されていない依存関係を使用してリポジトリにプッシュすると、警告がコールバックとして表示されます ( [CLI] オプション)。
  • GitHub Mobileでは、Web通知として表示されます。 詳しくは、「通知を設定する」を参照してください。

注: メールおよび WebGitHub Mobile通知は次のとおりです。

  • Dependabot がリポジトリで有効にされているとき、または新しいマニフェスト ファイルがリポジトリにコミットされたときは、"リポジトリごと"。

  • 新しい脆弱性が検出されたときは、"組織ごと"。

  • 新しい脆弱性が検出されたときに送信されます。 脆弱性が更新されたときには、GitHub は通知を送信しません。

Dependabot alertsに関する通知を受け取る方法をカスタマイズできます。 たとえば、 [週単位のメール ダイジェスト] オプションを使用すると、最大 10 個のリポジトリについてアラートを要約した週単位のダイジェスト メールを受け取ることができます。

Dependabot alerts の通知オプションのスクリーンショット。 通知頻度オプションのドロップダウン メニューがオレンジ色の枠線で強調表示されています。

注: GitHub で通知をフィルター処理して、Dependabot alerts を表示できます。 詳しくは、「インボックスからの通知を管理する」を参照してください。

1 つ以上のリポジトリに影響する Dependabot alerts のメール通知には、X-GitHub-Severity ヘッダー フィールドが含まれます。 X-GitHub-Severity ヘッダー フィールドの値を使用して、Dependabot alerts のメール通知をフィルター処理できます。 詳しくは、「通知を設定する」をご覧ください。

Dependabot alerts の通知によるノイズを軽減する方法

Dependabot alertsの通知をあまりに多く受け取ることが心配なら、週次のメールダイジェストにオプトインするか、Dependabot alertsを有効化したままで通知をオフにすることをおすすめします。 Dependabot alerts は、リポジトリの [セキュリティ] タブで引き続き確認できます。詳しくは、「Dependabot アラートの表示と更新」をご覧ください。

参考資料