脆弱な依存関係に関する Dependabot alertsについて
脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。 脆弱性の種類、重要度、攻撃の方法は様々です。
GitHub Advisory Database に新しいアドバイザリが追加されたとき、またはリポジトリの依存関係グラフが変更されたとき、Dependabot によってコードがスキャンされます。 脆弱な依存関係が検出されると、Dependabot alertsが生成されます。 詳しくは、「Dependabot アラートについて」を参照してください。
次の場合、Dependabot alerts を有効か無効にできます。
- 個人アカウント
- リポジトリ
- 組織
個人アカウントの Dependabot alerts の管理
リポジトリの Dependabot alerts は、エンタープライズ所有者が有効か無効にできます。 詳しくは、「エンタープライズ向けの Dependabot の有効化」を参照してください。
リポジトリの Dependabot alerts の管理
既定では、新しいDependabot alertsに関して影響を受けるリポジトリに管理アクセス権を持つ人に通知されます。 GitHub AE は、どのようなリポジトリについても、安全でない依存関係を公表することはありません。 Dependabot alerts を、自分が所有または管理者権限を持っているリポジトリで作業している追加のユーザーやチームに表示することもできます。
リポジトリの Dependabot alerts は、エンタープライズ所有者が有効か無効にできます。 詳しくは、「エンタープライズ向けの Dependabot の有効化」を参照してください。
組織の Dependabot alerts の管理
組織の Dependabot alerts を有効または無効にすることができるのはエンタープライズ所有者です。 詳しくは、「エンタープライズ向けの Dependabot の有効化」を参照してください。