Dependabot alerts の通知について
リポジトリ内で Dependabot によって脆弱な依存関係が検出されると、Dependabot アラートが生成され、そのリポジトリの [セキュリティ] タブに表示されます。 GitHub AE では、影響を受けるリポジトリのメンテナーに、その通知設定に従って新しいアラートを通知します。
デフォルトでは、Enterprise のオーナーが Enterprise での通知のためのメールを設定していれば、あなたはメールで Dependabot alerts を受け取ることになります。
Enterprise のオーナーは、通知なしで Dependabot alerts を有効にすることもできます。 詳しくは、「エンタープライズ向けの Dependabot の有効化」を参照してください。
Dependabot alertsの通知設定
各ページの上部に表示される [Manage notifications] ドロップダウン から、自分または Organization の通知設定を構成できます。 詳しくは、「通知を設定する」を参照してください。
通知の配信方法と、通知が送信される頻度を選択できます。 既定では、エンタープライズ所有者がインスタンスで通知用にメールを構成している場合、Dependabot alerts を次のように受け取ります。
- インボックス (Web 通知として)。 Web 通知は、Dependabot がリポジトリで有効にされていて、新しいマニフェスト ファイルがリポジトリにコミットされたときに、重要度が重大または高の新しい脆弱性が見つかった場合に送信されます ( [GitHub 上] オプション)。
- メール。Dependabot がリポジトリで有効にされていて、新しいマニフェスト ファイルがリポジトリにコミットされたときに、重要度が重大または高の新しい脆弱性が見つかると、メールが送信されます ( [Email] オプション)。
- ユーザー インターフェイス。セキュリティで保護されていない依存関係がある場合、リポジトリのファイル ビューとコード ビューに警告が表示されます ( [UI アラート] オプション)。
- コマンド ライン。セキュリティで保護されていない依存関係を使用してリポジトリにプッシュすると、警告がコールバックとして表示されます ( [CLI] オプション)。
注: メールと Web の通知は次のとおりです。
-
Dependabot がリポジトリで有効にされているとき、または新しいマニフェスト ファイルがリポジトリにコミットされたときは、リポジトリごと。
-
新しい脆弱性が検出されたときは、Organization ごと。
Dependabot alertsに関する通知を受け取る方法をカスタマイズできます。 たとえば、 [脆弱性の要約をメールで送る] と [週単位のセキュリティ メール ダイジェスト] オプションを使用すると、最大 10 個のリポジトリについてアラートを要約した週単位のダイジェスト メールを受け取ることができます。
注: GitHub で通知をフィルター処理して、Dependabot alerts を表示できます。 詳しくは、「インボックスからの通知を管理する」を参照してください。
1 つ以上のリポジトリに影響する Dependabot alerts のメール通知には、X-GitHub-Severity ヘッダー フィールドが含まれます。 X-GitHub-Severity ヘッダー フィールドの値を使用して、Dependabot alerts のメール通知をフィルター処理できます。 詳しくは、「通知を設定する」をご覧ください。
Dependabot alerts の通知によるノイズを軽減する方法
Dependabot alertsの通知をあまりに多く受け取ることが心配なら、週次のメールダイジェストにオプトインするか、Dependabot alertsを有効化したままで通知をオフにすることをおすすめします。 Dependabot alerts は、リポジトリの [セキュリティ] タブで引き続き確認できます。詳しくは、「Dependabot アラートの表示と更新」をご覧ください。