ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

プルリクエスト内の依存関係の変更をレビューする

プルリクエストに依存関係への変更が含まれている場合は、変更内容の概要と、依存関係に既知の脆弱性があるかどうかを確認できます。

ここには以下の内容があります:

注釈: 依存関係のレビューは現在ベータであり、変更される可能性があります。

依存関係のレビューについて

依存関係レビューを使うと、すべてのPull Reqeustにおける以下の変更による依存関係の変化とセキュリティについての影響を理解しやすくなります。 Pull Requestの"Files Changed(変更されたファイル)"タブ上のリッチdiffで、依存関係の変化を理解しやすく可視化します。 依存関係レビューは、以下のことを知らせます:

  • リリース日と合わせて、追加、削除、更新された依存関係。
  • これらのコンポーネントを使うプロジェクトの数。
  • これらの依存関係に関する脆弱性のデータ。

Dependency review allows you to "shift left". You can use the provided predictive information to catch vulnerable dependencies before they hit production. For more information, see "About dependency review."

プルリクエスト内の依存関係を確認する

  1. リポジトリ名の下にある Pull requests(プルリクエスト)をクリックしてください。 Issue とプルリクエストのタブの選択
  2. プルリクエストのリストで、レビューしたいプルリクエストをクリックします。
  3. Pull Requestで Files changed(変更されたファイル)をクリックしてください。

Pull Request Files changed tab

  1. プルリクエストに多数のファイルが含まれている場合は、[File filter] ドロップダウンメニューを使用して、依存関係を記録しないすべてのファイルを折りたたみます。 これにより、レビューを依存関係の変更に焦点を絞りやすくなります。

    ファイルフィルタメニュー

  2. マニフェストまたはロックファイルのヘッダの右側で、リッチ diff ボタンをクリックして依存関係のレビューを表示します。

    リッチ diff ボタン

    注釈: 依存関係のレビューでは、ソース diff がデフォルトでレンダリングされない大きなロックファイルで何が変更されたかをより明確に確認できます。

  3. 依存関係のレビューにリストされている依存関係を確認します。

    依存関係のレビューにおける脆弱性の警告

    脆弱性のある追加または変更された依存関係が最初に一覧表示され、次に重要度、依存関係名の順に並べられます。 これは、最も重要度の高い依存関係が、常に依存関係レビューの最上位に表示されるということです。 その他の依存関係は、依存関係名のアルファベット順に一覧表示されます。

    各依存関係の横にあるアイコンは、このプルリクエストで依存関係が追加された ()、更新された ()、削除された () ことを示しています。

    その他の情報は次のとおりです。

    • 新規、更新、または削除された依存関係のバージョンまたはバージョン範囲。
    • 依存関係の特定のバージョンの場合:
      • 依存関係のリリース時期。
      • このソフトウェアに依存しているプロジェクトの数。 この情報は、依存関係グラフから取得されます。 依存関係の数を確認すると、誤って間違った依存関係を追加することを防ぐことができます。
      • この依存関係で使用されるライセンス(この情報が利用可能な場合)。 これは、プロジェクトで特定のライセンスが使用されているコードを避ける必要がある場合に役立ちます。

    依存関係に既知の脆弱性がある場合、警告メッセージには次のものが含まれます。

    • 脆弱性の簡単な説明。
    • Common Vulnerabilities and Exposures (CVE) または GitHub Security Advisories (GHSA) 識別番号。 この ID をクリックすると、脆弱性の詳細を確認できます。
    • 脆弱性の重要度。
    • 脆弱性が修正された依存関係のバージョン。 誰かのプルリクエストを確認している場合は、パッチを適用したバージョンまたはそれ以降のリリースに依存関係を更新するようにコントリビューターに依頼することができます。
  4. You may also want to review the source diff, because there could be changes to the manifest or lock file that don't change dependencies, or there could be dependencies that GitHub can't parse and which, as a result, don't appear in the dependency review.

    To return to the source diff view, click the button.

    ソース diff ボタン

Did this doc help you?

Privacy policy

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

OR, learn how to contribute.