GitHub AE の Dependabot について
Dependabot を使用すると、ご自分のエンタープライズ のユーザーが依存関係の脆弱性を見つけて修正するのに役立ちます。
注: 現在、Dependabot alerts はベータ版であり、変更される可能性があります。
Dependabot alerts により、GitHub は、GitHub Advisory Database のデータと依存関係グラフ サービスを使い、リポジトリ内の安全でない依存関係を特定して ご自分のエンタープライズ にアラートを作成します。
アドバイザリは、以下のソースから GitHub Advisory Database に追加されます。
- GitHubで報告されたセキュリティアドバイザリ
- National Vulnerability Database
- npm セキュリティ アドバイザリ データベース
- FriendsOfPHP データベース
- Go Vulncheck データベース
- GitHub Packaging Advisory データベース
- Ruby Advisory データベース
- RustSec Advisory データベース
- コミュニティのコード提供。 詳細については、「https://github.com/github/advisory-database/pulls」を参照してください。
アドバイザリのインポート元として他のデータベースに心当たりがある場合は、https://github.com/github/advisory-database で issue をオープンしてお知らせください。
エンタープライズに対して Dependabot alerts を有効にすると、脆弱性データが GitHub Advisory Database からインスタンスに 1 時間に 1 回同期されます。 GitHub でレビューされたアドバイザリのみが同期されます。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」を参照してください。
また、脆弱性データはいつでも手動で同期することができます。 詳しくは、「エンタープライズの脆弱性データの表示」を参照してください。
注: Dependabot alerts を有効にすると、ご自分のエンタープライズ のコードやコードに関する情報は、GitHub.com にアップロードされません。
ご自分のエンタープライズ は、脆弱性に関する情報を受け取ると、影響を受けるバージョンの依存関係を使用する ご自分のエンタープライズ 内のリポジトリを識別して、Dependabot alerts を生成します。 新しい Dependabot alerts についてユーザーに自動的に通知するかどうかを選択できます。
Dependabot alerts が有効になっているリポジトリの場合、マニフェスト ファイルまたはロック ファイルを含む既定のブランチへの任意のプッシュでスキャンがトリガーされます。 さらに、新しい脆弱性レコードが ご自分のエンタープライズ に追加されると、GitHub AE は ご自分のエンタープライズ のすべての既存のリポジトリをスキャンして、脆弱なリポジトリについてのアラートを生成します。 詳しくは、「Dependabot アラートについて」を参照してください。
Dependabot alerts の有効化
Dependabot alerts を有効にする前に、次のことを行います。
- GitHub Connect を有効にする必要がある。 詳しくは、「GitHub Connect の管理」を参照してください。
-
GitHub AE の右上で、ご自分のプロファイル写真をクリックしてから、 [Enterprise 設定] をクリックします。
-
[Enterprise アカウント] サイドバーで、 [GitHub Connect] をクリックします。
-
[リポジトリは脆弱性のスキャンが可能] で、ドロップダウンメニューを選択して、 [有効 (通知なし)] を選択します。 必要に応じて、通知ありでアラートを有効にするには、 [有効 (通知あり)] をクリックします。
ヒント: メールの過負荷を避けるため、最初の数日間は Dependabot alerts を通知なしに設定することをお勧めします。 数日後、通知を有効化して、通常どおり Dependabot alerts を受信できます。
