Skip to main content
ドキュメントへの更新が頻繁に発行されており、このページの翻訳はまだ行われている場合があります。 最新の情報については、「英語のドキュメント」を参照してください。
現在、GitHub AE は限定的リリースです。
All products
コードセキュリティ

Dependabot アラートについて

セキュリティで保護されていない依存関係の通知を受け取るラーニング パスの 4 の 1
次へ:Dependabot アラートの表示と更新

この記事の内容

リポジトリで脆弱な依存関係を使用していることが検出された場合、GitHub AE から Dependabot alertsが送信されます。

Dependabot alerts は、GitHub AE 上のリポジトリ (ユーザー所有と組織所有) で、無料で使用できます。

Dependabot alerts について

Dependabot alerts により、コードが安全でないパッケージに依存していることが通知されます。

セキュリティ上の脆弱性があるパッケージにコードが依存している場合、プロジェクトまたはそれを使用するユーザーにさまざまな問題が発生する可能性があります。 できるだけ早く、セキュリティで保護されたバージョンのパッケージにアップグレードする必要があります。

詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」を参照してください。

安全でない依存関係を検出する

注: 現在、Dependabot alerts はベータ版であり、変更される可能性があります。

Dependabot により、安全でない依存関係を検出するためにスキャンが実行され、以下の場合に Dependabot alertsが送信されます。

  • 新しいアドバイザリ データが GitHub.com から 1 時間ごとに ご自分のエンタープライズ に同期されたとき。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」を参照してください。

    注: GitHub によってレビューされたアドバイザリのみが、Dependabot alertsをトリガーします。

  • リポジトリの依存関係グラフが変更された場合。 たとえば、共同作成者がコミットをプッシュして、依存しているパッケージまたはバージョンを変更したとき。 詳しくは、「依存関係グラフについて」を参照してください。

さらに、GitHub は、リポジトリの既定のブランチに対して行われた pull request で追加、更新、削除される依存関係を確認し、プロジェクトのセキュリティを低下させる変更にフラグを立てることができます。 これにより、コードベースまで達した後ではなくその前に、脆弱な依存関係を見つけて対処できます。 詳細については、「プル リクエスト内の依存関係の変更をレビューする」を参照してください。

GitHub AE が安全でない依存関係を検出するエコシステムの一覧については、「依存関係グラフについて」を参照してください。

注: マニフェストとロック ファイルを最新の状態に保つことが重要です。 依存関係グラフに現在の依存関係とバージョンが正確に反映されていない場合は、使用している安全でない依存関係のアラートを見逃す可能性があります。 また、使用しなくなった依存関係のアラートを受け取る場合もあります。

Dependabot alertsの構成について

この機能を使うには、エンタープライズ所有者が ご自分のエンタープライズ の Dependabot alerts を有効にする必要があります。 詳しくは、「エンタープライズ向けの Dependabot の有効化」を参照してください。

GitHub AE によって脆弱な依存関係、Dependabot アラートが生成され、リポジトリの依存関係グラフに表示されます。 アラートには、固定バージョンに関する情報が含まれます。 GitHub AE は、影響を受けるリポジトリの保守担当者に、通知設定に従って新しいアラートについて通知します。 詳しくは、「Dependabot アラートの通知を構成する」を参照してください。

: GitHub AE のセキュリティ機能は、すべての脆弱性を捕捉するものではありません。 GitHub Advisory Database は頻繁に更新されており、最新の情報を使用したアラートが生成されます。 ただし、すべてを捕捉することや、一定の期間内に確実に既知の脆弱性について通知することはできません。 これらの機能は、人間が各依存関係をレビューして、潜在的な脆弱性やその他のイシューを確認する作業の代わりになるものではありません。必要に応じて、セキュリティ サービスに相談したり、依存関係の詳しいレビューを実施したりすることをお勧めします。

Dependabot alertsへのアクセス

リポジトリの依存関係グラフの特定のプロジェクトに影響するすべてのアラートを確認できます。 詳しくは、「Dependabot アラートの表示と更新」を参照してください。

デフォルトでは、新しいDependabot alertsに関して影響を受けるリポジトリに管理権限を持っている人に通知を行います。

通知の配信方法と、通知が送信される頻度を選択できます。詳細については、「Dependabot アラートの通知を構成する」を参照してください。

GitHub Advisory Database 内の特定のアドバイザリに対応するすべての Dependabot alertsを見ることもできます。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」を参照してください。

次へDependabot アラートの表示と更新