ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

GitHub Dependabot のセキュリティアップデートを設定する

GitHub Dependabotセキュリティアップデート または手動のプルリクエストを使用して、脆弱性のある依存関係を簡単に更新できます。

ここには以下の内容があります:

Did this doc help you?

GitHub Dependabotセキュリティアップデートについて

Dependabot は GitHub Advisory Database や WhiteSource などのセキュリティアドバイザリを監視し、リポジトリの依存関係グラフで新たに脆弱性のある依存関係を検出すると、プルリクエストを自動的にトリガーします。 GitHub Advisory Database の詳細については、「GitHub Advisory Database について」を参照してください。

プルリクエストは、脆弱性を回避するために必要最低限の安全なバージョンに依存関係をアップグレードします。

Note: It's good practice to have automated tests and acceptance processes in place so that checks are carried out before the pull request is merged. This is particularly important if the suggested version to upgrade to contains additional functionality, or a change that breaks your project's code. For more information about continuous integration, see "About continuous integration."

Dependabot は、脆弱性のある依存関係のアラートにプルリクエストへのリンクを含めます。 詳しい情報については、「脆弱性のある依存関係に対するアラートについて」および「依存関係グラフについて」を参照してください。

各セキュリティアップデートには、提案された修正を迅速かつ安全に確認してプロジェクトにマージするために必要なすべてのものが含まれています。 これには、リリースノート、変更ログエントリ、コミットの詳細などの脆弱性に関する情報が含まれます。 プルリクエストが解決する脆弱性の詳細は、リポジトリの Dependabot アラートにアクセスできないユーザには表示されません。

セキュリティアップデートを含むプルリクエストをマージすると、対応するアラートがリポジトリに対して解決済みとしてマークされます。

注釈: GitHub Dependabotセキュリティアップデート は、依存関係グラフによって追跡される依存関係のセキュリティの脆弱性のみを解決します。 セキュリティアップデートは、プライベートリポジトリでホストされているプライベートレジストリまたはパッケージの脆弱性を解決するために作成されていません。 ただし、間接的または推移的な依存関係は、ロックファイルなどで明示的に定義されている場合に含まれます。 詳しい情報については、「依存関係グラフについて」を参照してください。 さらに、依存関係が脆弱であると検出された場合、GitHub Dependabotセキュリティアップデート がロックファイルへの修正案を含むプルリクエストを自動的に作成することを強調することが重要です。

Dependabot アラートと依存関係グラフを使用する任意のリポジトリで GitHub Dependabotセキュリティアップデート を有効にすることができます。 個々のリポジトリ、またはユーザアカウントまたは Organization が所有するすべてのリポジトリに対して GitHub Dependabotセキュリティアップデート を無効にすることができます。 詳しい情報については、以下の「リポジトリの GitHub Dependabotセキュリティアップデート を管理する」を参照してください。

GitHub Dependabot and all related features are covered by GitHub's Terms of Service.

サポートされているリポジトリ

GitHub は、これらの前提条件を満たすすべてのリポジトリに対して GitHub Dependabotセキュリティアップデート を自動的に有効にします。

Note: You can manually enable GitHub Dependabotセキュリティアップデート, even if the repository doesn't meet some of the prerequisites below. For example, you can enable GitHub Dependabotセキュリティアップデート on a fork, or for a package manager that isn't directly supported by following the instructions in "Managing GitHub Dependabotセキュリティアップデート for your repositories."

自動有効化の前提条件詳細情報
リポジトリがフォークではないフォークについて
リポジトリがアーカイブされていないリポジトリをアーカイブする
リポジトリがパブリックである、またはリポジトリがプライベートであり、リポジトリの設定で GitHub、依存関係グラフ、および脆弱性アラートによる読み取り専用分析が有効化されているプライベートリポジトリのデータ使用設定を管理する
リポジトリに GitHub がサポートするパッケージエコシステムの依存関係マニフェストファイルが含まれているサポートされているパッケージエコシステム
GitHub Dependabotセキュリティアップデート がリポジトリに対して無効になっていないリポジトリの GitHub Dependabotセキュリティアップデート を管理する
リポジトリが依存関係管理の統合をまだ使用していない"インテグレーションについて"

リポジトリでセキュリティアップデートが有効になっておらず、理由が不明の場合は、まず以下の手順のセクションに記載されている指示に従って有効にしてみてください。 それでもセキュリティアップデートが機能しない場合は、サポートにお問い合わせください

互換性スコアについて

GitHub Dependabotセキュリティアップデート には、互換性スコアも含まれています。これは、脆弱性を更新することでプロジェクトに重大な変更が発生する可能性があるかどうかを知らせるものです。 弊社では、アップデートによりテストが失敗するかどうかを確認するため、既存のセキュリティアップデートを生成したパブリックリポジトリから、以前にパスした CI テストを調べます。 更新の互換性スコアは、依存関係に関するバージョンの更新前後で、実行した CI がパスした割合です。

リポジトリの GitHub Dependabotセキュリティアップデート を管理する

個別のリポジトリに対して GitHub Dependabotセキュリティアップデート を有効または無効にできます。

ユーザアカウントまたは Organization が所有するすべてのリポジトリの GitHub Dependabotセキュリティアップデート を有効または無効にすることもできます。 詳しい情報については、「ユーザーアカウントのセキュリティおよび分析設定を管理する」または「Organization のセキュリティおよび分析設定を管理する」を参照してください。

GitHub Dependabotセキュリティアップデート には特定のリポジトリ設定が必要です。 詳しい情報については、「サポートされているリポジトリについて」を参照してください。

  1. GitHubで、リポジトリのメインページにアクセスしてください。
  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。
    セキュリティのタブ
  3. In the security sidebar, click Dependabot alerts.
    Dependabot alerts tab
  4. アラート一覧の上にあるドロップダウンメニューで [Dependabot security updates] を選択または選択解除します。
    GitHub Dependabotセキュリティアップデート を有効にするオプションを含むドロップダウンメニュー

参考リンク

Did this doc help you?