現在、GitHub AE は限定的リリースです。

Dependabot アラートの表示と更新

この記事の内容

GitHub AE がプロジェクト内の安全ではない依存関係を発見した場合は、詳細をリポジトリの [Dependabot アラート] タブで確認できます。 その後、プロジェクトを更新してこのアラートを解決することができます。

この機能を使用できるユーザー

Repository administrators and organization owners can view and update dependencies, as well as users and teams with explicit access.

リポジトリの [Dependabot alerts] タブには、オープンおよびクローズされたすべての Dependabot alerts が一覧表示されます。 パッケージ、エコシステム、マニフェストでアラートをフィルター処理できます。 アラートの一覧を並べ替えたり、特定のアラートをクリックしてその詳細を表示したりできます。 アラートを無視したり、もう一度開いたりすることもできます。 詳しくは、「Dependabot アラートについて」をご覧ください。

ユーザー インターフェイスで使用できるさまざまなフィルターと並べ替えオプションを使って、Dependabot alerts をフィルター処理して並べ替えることができます。 詳しい情報については、以下の「Dependabot alertsの優先順位付け」を参照してください。

Dependabot アラートに応答するために行われたアクションを監査することもできます。 詳しくは、「セキュリティ アラートの監査」を参照してください。

Dependabot alertsの優先順位付け

GitHub は、Dependabot alertsの修正の優先順位を付けるのに役立ちます。

Dependabot alerts の表示

リポジトリの Dependabot alerts タブでは、オープンおよびクローズされたすべての Dependabot alerts とそれに対応する Dependabot security updates を表示できます。ドロップダウン メニューからフィルターを選択することで、Dependabot alerts を並べ替えてフィルタリングできます。

組織が所有するリポジトリのすべてまたはサブセットのアラートの概要を表示するには、セキュリティの概要を使用します。 詳しくは、「セキュリティの概要について」をご覧ください。

  1. ご自分のエンタープライズ で、リポジトリのメイン ページへ移動します。
  2. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。 タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。
  3. セキュリティの概要の [脆弱性アラート] サイド バーで、 [Dependabot] をクリックします。 このオプションがない場合は、セキュリティ アラートにアクセスできないため、アクセス権を付与する必要があることを意味します。 詳細については、「リポジトリのセキュリティと分析設定を管理する」を参照してください。 セキュリティの概要のスクリーンショット。[Dependabot] タブが濃いオレンジ色の枠線で強調表示されています。
  4. 必要に応じて、アラートをフィルター処理するには、ドロップダウン メニューでフィルターを選び、適用するフィルターをクリックします。 検索バーにフィルターを入力することもできます。 アラートのフィルター処理と並べ替えについて詳しくは、「Dependabot alertsの優先順位付け」を参照してください。
  5. 表示するアラートをクリックします。

アラートの確認と修正

すべての依存関係にセキュリティ上の弱点がないことを確認することが重要です。 Dependabot によって依存関係で脆弱性 が検出された場合、プロジェクトの露出レベルを評価し、アプリケーションをセキュリティで保護するための修復手順を決定する必要があります。

修正プログラムが適用されたバージョンが利用できない場合や、セキュリティで保護されたバージョンに更新できない場合は、Dependabot によって追加情報が共有され、次の手順を決定できます。 Dependabot アラートをクリックして表示すると、影響を受ける関数を含め、依存関係に関するセキュリティ アドバイザリの詳細情報を確認できます。 これにより、自分のコードが、影響を受ける関数を呼び出すかどうかを確認できます。 この情報は、リスク レベルをさらに厳密に評価し、回避策を決定したり、セキュリティ アドバイザリによって表されるリスクを受け入れられるかどうかを判断したりするのに役立ちます。

脆弱性のある依存関係を修正する

  1. アラートの詳細を表示します。 詳しい情報については、「Dependabot alerts の表示」 (上記) を参照してください。

  2. ページの情報を使用してアップグレード先の依存関係のバージョンを決定し、マニフェストへの Pull Request、またはセキュリティで保護されたバージョンへのロック ファイルを作成することができます。

  3. 依存関係を更新して脆弱性を解決する準備ができたら、プルリクエストをマージしてください。

Dependabot alertsを無視する

ヒント: 無視できるのは、オープン アラートのみです。

依存関係をアップグレードするための広範な作業をスケジュールする場合や、アラートを修正する必要がないと判断した場合は、アラートを無視できます。 既に評価済みのアラートを無視すると、新しいアラートが表示されたときに簡単にトリアージできます。

  1. アラートの詳細を表示します。 詳細については、「脆弱性のある依存関係を表示する」(上記) を参照してください。

  2. [無視] ドロップダウンを選び、アラートを無視する理由をクリックします。 無視された未修正のアラートは、後でもう一度開くことができます。

    Dependabot アラートのページのスクリーンショット。[無視] ドロップダウンとそのオプションが濃いオレンジ色の枠線で強調表示されています。

クローズされたアラートの表示と更新

開いているすべてのアラートを表示し、以前に却下したアラートをもう一度開くことができます。 既に修復済みのクローズされたアラートをもう一度開くことはできません。

  1. ご自分のエンタープライズ で、リポジトリのメイン ページへ移動します。

  2. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。 タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。

  3. セキュリティの概要の [脆弱性アラート] サイド バーで、 [Dependabot] をクリックします。 このオプションがない場合は、セキュリティ アラートにアクセスできないため、アクセス権を付与する必要があることを意味します。 詳細については、「リポジトリのセキュリティと分析設定を管理する」を参照してください。 セキュリティの概要のスクリーンショット。[Dependabot] タブが濃いオレンジ色の枠線で強調表示されています。

  4. クローズされたアラートのみを表示するには、 [Closed] をクリックします。

  5. 表示または更新するアラートをクリックします。

  6. 必要に応じて、却下されたアラートを再度開く場合は、 [Reopen] をクリックします。 既に修正されたアラートをもう一度開くことはできません。

    クローズされた Dependabot アラートのスクリーンショット。 "もう一度開く" というタイトルのボタンが濃いオレンジ色の枠線で強調表示されています。

Dependabot alerts の監査ログの確認

組織またはエンタープライズのメンバーが Dependabot alerts に関連するアクションを実行した場合は、監査ログでそのアクションを確認できます。 ログにアクセスする方法については、「Organization の Audit log をレビューする」と「企業の監査ログにアクセスする

Dependabot alerts に関する監査ログのイベントには、だれがアクションを実行したか、何のアクションか、いつアクションを実行したか、などの詳細が含まれます。 Dependabot alerts アクションについて詳しくは、「組織の監査ログ イベント」と「エンタープライズの監査ログ イベント」の repository_vulnerability_alert カテゴリを参照してください。