ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

リポジトリ内の脆弱な依存関係を表示・更新する

GitHub がプロジェクト内の脆弱性のある依存関係を発見した場合は、それらをリポジトリの [Dependabot alerts] タブで確認できます。 その後、プロジェクトを更新してこの脆弱性を解決することができます。

リポジトリ管理者と Organization のオーナーは、依存関係を表示および更新できます。

ここには以下の内容があります:

Did this doc help you?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

OR, learn how to contribute.

リポジトリの GitHub Dependabot アラートタブには、オープンおよびクローズしている GitHub Dependabotアラート、および対応する GitHub Dependabotセキュリティアップデート がすべて一覧表示されます。 ドロップダウンメニューを使用してアラートのリストを並べ替えることができます。また、特定のアラートをクリックしてその詳細を表示することもできます。 詳しい情報については、「脆弱性のある依存関係に対するアラートについて」を参照してください。

GitHub Dependabotアラート と依存関係グラフを使用するリポジトリの自動セキュリティ更新を有効にすることができます。 詳しい情報については、「GitHub Dependabotセキュリティアップデート を設定する」を参照してください。

リポジトリ内の脆弱性のある依存関係の更新について

リポジトリに影響を与える脆弱性を検出すると、GitHub は GitHub Dependabotアラート を送信します。 GitHub Dependabotセキュリティアップデート が有効になっているリポジトリで GitHub が脆弱性のある依存関係を検出すると、Dependabot はプルリクエストを作成して修正します。 プルリクエストは、脆弱性を回避するために必要最低限の安全なバージョンに依存関係をアップグレードします。

Note: It's good practice to have automated tests and acceptance processes in place so that checks are carried out before the pull request is merged. This is particularly important if the suggested version to upgrade to contains additional functionality, or a change that breaks your project's code. For more information about continuous integration, see "About continuous integration."

脆弱性のある依存関係を表示して更新する

  1. GitHubで、リポジトリのメインページにアクセスしてください。
  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。
    セキュリティのタブ
  3. In the security sidebar, click Dependabot alerts.
    Dependabot alerts tab
  4. 表示したいアラートをクリックします。
    アラートリストで選択されたアラート
  5. 脆弱性の詳細を確認し、可能な場合は、自動セキュリティアップデートを含むプルリクエストを確認します。
  6. 必要に応じて、アラートに対する GitHub Dependabotセキュリティアップデート アップデートがまだ入手できない場合、脆弱性を解決するプルリクエストを作成するには、[Create Dependabot security update] をクリックします。
    Dependabot セキュリティアップデートボタンを作成
  7. 依存関係を更新して脆弱性を解決する準備ができたら、プルリクエストをマージしてください。 Dependabot によって発行される各プルリクエストには、Dependabot の制御に使用できるコマンドの情報が含まれています。 詳しい情報については、「依存関係の更新に関するプルリクエストを管理する 」を参照してください。
  8. 必要に応じて、アラートが正しく修正されていない場合や、未使用のコード内に含まれている場合は、[Dismiss] ドロップダウンを使用して、アラートを却下する理由をクリックします。
    [Dismiss] ドロップダウンでアラートを却下する理由を選択する

参考リンク

Did this doc help you?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

OR, learn how to contribute.