ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。
記事のバージョン: GitHub.com

脆弱性のある依存関係に関するアラートについて

GitHub は、リポジトリに影響を与える脆弱性を検出すると、GitHub Dependabotアラートを送信します。

ここには以下の内容があります:

脆弱性のある依存関係について

脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。 Vulnerabilities vary in type, severity, and method of attack.

セキュリティ上の脆弱性があるパッケージにコードが依存している場合、この脆弱性のある依存関係により、プロジェクトまたはそれを使用するユーザにさまざまな問題が発生する可能性があります。

脆弱性のある依存関係の検出

GitHub Dependabot は脆弱性のある依存関係を検出し、Dependabot アラートを送信しますを送信します。

  • GitHub Advisory Database に新しい脆弱性が追加されたとき。 詳しい情報については、「GitHub Advisory Database のセキュリティ脆弱性を参照する」を参照してください。
  • WhiteSource からの新しい脆弱性データが処理されたとき。
  • リポジトリの依存関係グラフが変更されたとき。 For example, when a contributor pushes a commit to change the packages or versions it depends on, or when the code of one of the dependencies changes. 詳しい情報については、「依存関係グラフについて」を参照してください。

GitHub が脆弱性と依存関係を検出できるエコシステムのリストについては、「サポートされているパッケージエコシステム」を参照してください。

注釈: マニフェストとロックファイルを最新の状態に保つことが重要です。 依存関係グラフが現在の依存関係とバージョンを正確に反映していない場合、使用する脆弱性のある依存関係のアラートを見逃す可能性があります。 また、使用しなくなった依存関係のアラートを受け取る場合もあります。

脆弱性のある依存関係の GitHub Dependabot アラート

GitHub は、デフォルトでパブリックリポジトリの脆弱性のある依存関係を検出してユーザにアラートします。 プライベートリポジトリの所有者、または管理アクセス権を持つユーザは、リポジトリの依存関係グラフと GitHub Dependabotアラート を有効にすることで、GitHub Dependabotアラート を有効化できます。

You can also enable or disable GitHub Dependabot alerts for all repositories owned by your user account or organization. For more information, see "Managing security and analysis settings for your user account" or "Managing security and analysis settings for your organization."

GitHub は依存関係グラフの生成をすぐに開始し、脆弱性のある依存関係が特定されるとすぐにアラートを送信します。 グラフは通常数分以内に入力されますが、多くの依存関係を持つリポジトリの場合は時間がかかる場合があります。 詳しい情報については、「プライベートリポジトリのデータ使用を管理する」を参照してください。

GitHub が脆弱性のある依存関係を特定すると、影響を受けるリポジトリのメンテナに、脆弱性の詳細、プロジェクト内の影響を受けるファイルへのリンク、および修正バージョンに関する情報を含むDependabotアラートを送信します。 GitHub Dependabotセキュリティアップデート が有効なリポジトリの場合、アラートには、マニフェストまたはロックファイルを脆弱性を解決する最小バージョンに更新するプルリクエストへのリンクも含まれています。 詳しい情報については、「GitHub Dependabotセキュリティアップデート を設定する」を参照してください。

注釈: GitHub のセキュリティの機能は、すべての脆弱性を捕捉するものではありません。 弊社は常に脆弱性データベースを更新し、最新の情報でアラートを発するよう努力していますが、すべての問題を捕捉することや、既知の脆弱性について一定の時間内で確実にアラートを発することは不可能です。 これらの機能は、それぞれの依存関係の潜在的な脆弱性やその他の問題に関する人によるレビューを置き換えるものではなく、必要な場合にはセキュリティサービスによるコンサルティングや、総合的な脆弱性レビューを行うことをおすすめします。

Dependabotアラートへのアクセス

特定のプロジェクトに影響するすべてのアラートは、リポジトリの [セキュリティ] タブまたはリポジトリの依存関係グラフで確認できます。詳しい情報については、「リポジトリ内の脆弱な依存関係を表示・更新する」を参照してください。

デフォルトでは、影響を受けるリポジトリの管理者権限を持つユーザに Dependabotアラートを送信します。 GitHub は、特定のリポジトリに対して特定された脆弱性を公表することはありません。Organization 所有のリポジトリで作業している追加のユーザまたは Team に対して Dependabotアラートを有効にすることもできます。 詳細は「Organization のリポジトリ内の脆弱性のある依存関係に関するアラートを管理する」を参照してください。

GitHub Dependabotアラートの通知を設定する

デフォルトでは、特定の脆弱性ごとにグループ化されたGitHub Dependabotアラートをメールで受け取ります。 また、最大 10 個のリポジトリに関するアラートをまとめた毎週のメール、Web 通知、またはGitHubユーザーインターフェースでGitHub Dependabotアラートを受信するように選択することもできます。 詳しい情報については、「通知を設定する」」を参照してください。

Email notifications for GitHub Dependabotアラート that affect one or more repositories include the X-GitHub-Severity header field. You can use the value of the X-GitHub-Severity header field to filter email notifications for GitHub Dependabotアラート. 詳しい情報については、「通知を設定する」を参照してください。

参考リンク

担当者にお尋ねください

探しているものが見つからなかったでしょうか?

弊社にお問い合わせください