Skip to main content

エンタープライズ向けの Dependabot の有効化

Dependabot alerts を有効にすることで、your enterprise のユーザーがコードの依存関係の脆弱性を見つけて修正できるようにすることができます。

Who can use this feature

Enterprise owners can enable Dependabot.

GitHub AE の Dependabot について

Dependabot を使用すると、your enterprise のユーザーが依存関係の脆弱性を見つけて修正するのに役立ちます。

注: 現在、Dependabot alerts はベータ版であり、変更される可能性があります。

Dependabot alerts により、GitHub は、GitHub Advisory Database のデータと依存関係グラフ サービスを使い、リポジトリ内の安全でない依存関係を特定して your enterprise にアラートを作成します。

アドバイザリは、以下のソースから GitHub Advisory Database に追加されます。

アドバイザリのインポート元として他のデータベースに心当たりがある場合は、https://github.com/github/advisory-database で issue をオープンしてお知らせください。

エンタープライズに対して Dependabot alerts を有効にすると、脆弱性データが GitHub Advisory Database からインスタンスに 1 時間に 1 回同期されます。 GitHub でレビューされたアドバイザリのみが同期されます。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」をご覧ください。

また、脆弱性データはいつでも手動で同期することができます。 詳細については、「エンタープライズの脆弱性データの表示」を参照してください。

注: Dependabot alerts を有効にすると、your enterprise のコードやコードに関する情報は、GitHub.com にアップロードされません。

your enterprise は、脆弱性に関する情報を受け取ると、影響を受けるバージョンの依存関係を使用する your enterprise 内のリポジトリを識別して、Dependabot alerts を生成します。 新しい Dependabot alerts についてユーザーに自動的に通知するかどうかを選択できます。

Dependabot alerts が有効になっているリポジトリの場合、マニフェスト ファイルまたはロック ファイルを含む既定のブランチへの任意のプッシュでスキャンがトリガーされます。 さらに、新しい脆弱性レコードが your enterprise に追加されると、GitHub AE は your enterprise のすべての既存のリポジトリをスキャンして、脆弱なリポジトリについてのアラートを生成します。 詳細については、「Dependabot alerts について」を参照してください。

Dependabot alerts の有効化

Dependabot alerts を有効にする前に、次のことを行います。

  • GitHub Connect を有効にする必要がある。 詳細については、「GitHub Connect の管理」を参照してください。
  1. GitHub AE の右上で、ご自分のプロファイル写真をクリックしてから、 [Enterprise 設定] をクリックします。 GitHub AE のプロファイル写真のドロップダウン メニューの [自分の Enterprise] 1. [Enterprise アカウント] サイドバーで、 [GitHub Connect] をクリックします。 [Enterprise アカウント] サイドバーの [Github Connect] タブ

  2. [リポジトリは脆弱性のスキャンが可能] で、ドロップダウンメニューを選択して、 [有効 (通知なし)] を選択します。 必要に応じて、通知ありでアラートを有効にするには、 [有効 (通知あり)] をクリックします。 脆弱性に対するリポジトリのスキャンを有効化するドロップダウンメニュー

    ヒント: メールの過負荷を避けるため、最初の数日間は Dependabot alerts を通知なしに設定することをお勧めします。 数日後、通知を有効化して、通常どおり Dependabot alerts を受信できます。