👋 We've unified all of GitHub's product documentation in one place! Check out the content for REST API, GraphQL API, and Developers. Stay tuned for a blog post later today.


ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

GitHub Dependabot のセキュリティアップデートを設定する

GitHub Dependabotセキュリティアップデート または手動のプルリクエストを使用して、脆弱性のある依存関係を簡単に更新できます。

ここには以下の内容があります:

探していたものは見つけられましたか?

GitHub Dependabotセキュリティアップデートについて

セキュリティアラートと依存関係グラフを使用する任意のリポジトリで GitHub Dependabotセキュリティアップデート を有効にすることができます。 個々のリポジトリ、またはユーザアカウントまたは Organization が所有するすべてのリポジトリに対して GitHub Dependabotセキュリティアップデート を無効にすることができます。

リポジトリ内の脆弱性のある依存関係に関するセキュリティアラートを受け取ったら、GitHub Dependabot によって生成されたプルリクエストでセキュリティアップデートを使用して脆弱性を解決できます。 セキュリティアップデートは、依存関係グラフを使用するリポジトリで利用できます。 デフォルトでは、GitHub Dependabot は、脆弱性のある依存関係を、脆弱性を避けるために必要な、可能な限り最小のバージョンに更新するため、リポジトリ内に自動的にプルリクエストを作成します。 自動的なプルリクエストを無効にし、手動でプルリクエストを作成して任意で脆弱性を更新するようにすることもできます。

セキュリティアップデートには、リリースノート、変更ログエントリ、コミットの詳細などの脆弱性に関する情報を含め、提案された修正を迅速かつ安全に確認してプロジェクトにマージするために必要なすべてが含まれています。

セキュリティアップデートは GitHub Dependabot によってオープンされます。 GitHub Dependabot GitHub App は、セキュリティアップデートが有効になっているすべてのリポジトリに自動的にインストールされます。

リポジトリのセキュリティアラートにアクセスできる人には、関連するセキュリティアラートのリンクが表示されます。ただし、リポジトリのセキュリティアラートにアクセスできないがプルリクエストにはアクセスできる人は、プルリクエストがどの脆弱性を解決するかを見ることはできません。

セキュリティアップデートを含むプルリクエストをマージすると、対応するセキュリティアラートがリポジトリに対して解決済みとしてマークされます。

注釈: GitHub Dependabotセキュリティアップデート は、依存関係のセキュリティの脆弱性のみを解決します。 セキュリティアップデートは、プライベートリポジトリでホストされているプライベートレジストリまたはパッケージの脆弱性を解決するために作成されていません。

サポートされているリポジトリ

GitHub は、これらの要件を満たすすべてのリポジトリに対して GitHub Dependabotセキュリティアップデート を自動的に有効にします。

注釈: 2019年11月以前に作成されたリポジトリについては、リポジトリが次の基準を満たし、2019年5月23日以降に少なくとも1回のプッシュを受け取った場合、GitHub は自動的に GitHub Dependabotセキュリティアップデート を有効にします。

要件詳細情報
リポジトリがフォークではないフォークについて
リポジトリがアーカイブされていないリポジトリをアーカイブする
リポジトリがパブリックである、またはリポジトリがプライベートであり、リポジトリの設定で GitHub、依存関係グラフ、および脆弱性アラートによる読み取り専用分析が有効化されているプライベートリポジトリのデータ使用をオプトインする
リポジトリに GitHub がサポートするパッケージエコシステムの依存関係マニフェストファイルが含まれているサポートされているパッケージエコシステム
GitHub Dependabotセキュリティアップデート がリポジトリに対して無効になっていないリポジトリの GitHub Dependabotセキュリティアップデート を管理する
リポジトリが依存関係管理の統合をまだ使用していない"インテグレーションについて"

リポジトリでセキュリティアップデートが有効になっておらず、原因がわからない場合は、サポートにお問い合わせください。

互換性スコアについて

GitHub Dependabotセキュリティアップデート には、互換性スコアも含まれています。これは、脆弱性を更新することでプロジェクトに重大な変更が発生する可能性があるかどうかを知らせるものです。 弊社では、アップデートによりテストが失敗するかどうかを確認するため、既存のセキュリティアップデートを生成したパブリックリポジトリから、以前にパスした CI テストを調べます。 更新の互換性スコアは、依存関係に関するバージョンの更新前後で、実行した CI がパスした割合です。

リポジトリの GitHub Dependabotセキュリティアップデート を管理する

個別のリポジトリに対して GitHub Dependabotセキュリティアップデート を有効または無効にできます。

GitHub Dependabotセキュリティアップデート には特定のリポジトリ設定が必要です。 詳しい情報については、「サポートされているリポジトリについて」を参照してください。

  1. GitHubで、リポジトリのメインページにアクセスしてください。
  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。
    セキュリティのタブ
  3. セキュリティのサイドバーで、Dependabot alerts(Dependabotアラート)をクリックしてください。
    Dependabotアラートタブ
  4. アラート一覧の上にあるドロップダウンメニューで [Dependabot security updates] を選択または選択解除します。
    GitHub Dependabotセキュリティアップデート を有効にするオプションを含むドロップダウンメニュー

ユーザアカウントの GitHub Dependabotセキュリティアップデート を管理する

ユーザアカウントが所有するすべてのリポジトリの GitHub Dependabotセキュリティアップデート を無効にできます。 その場合でも、ユーザアカウントが所有する個々のリポジトリに対して GitHub Dependabotセキュリティアップデート を有効にすることができます。

  1. 任意のページの右上で、プロフィール画像をクリックし、続いてSettings(設定)をクリックしてください。
    ユーザバーの [Settings(設定)] アイコン
  2. ユーザ設定サイドバーでSecurity(セキュリティ)をクリックしてください。
    セキュリティ設定サイドバー
  3. "Dependabot security updates(Dependabotのセキュリティアップデート)"の下で、Opt out of Dependabot security updates(Dependabotのセキュリティアップデートをオプトアウトする)を選択するか、選択解除するかしてください。
    Dependabotのセキュリティアップデートをオプトアウトするチェックボックス
  4. [Save] をクリックします。

Organization の GitHub Dependabotセキュリティアップデート を管理する

Organization のオーナーは、Organization が所有するすべてのリポジトリに対して GitHub Dependabotセキュリティアップデート を無効にできます。 その場合、Organization が所有する個々のリポジトリに対する管理者権限を持つユーザは、そのリポジトリで GitHub Dependabotセキュリティアップデート を有効にできます。

  1. GitHubの右上で、プロフィール画像をクリックし、続いてYour profile(あなたのプロフィール)をクリックしてください。
    プロフィール画像
  2. プロフィールページの左側で、"Organizations"の下であなたのOrganizationのアイコンをクリックしてください。
    organizationのアイコン
  3. Organization名の下で、Settings(設定)をクリックしてください。
    Organizationの設定ボタン
  4. Organizationの設定サイドバーで、Security(セキュリティ)をクリックしてください。
    セキュリティ設定
  5. "Dependabot security updates(Dependabotのセキュリティアップデート)"の下で、Opt out of Dependabot security updates(Dependabotのセキュリティアップデートをオプトアウトする)を選択するか、選択解除するかしてください。
    Dependabotのセキュリティアップデートをオプトアウトするチェックボックス
  6. [Save] をクリックします。

参考リンク

探していたものは見つけられましたか?

担当者にお尋ねください

探しているものが見つからなかったでしょうか?

弊社にお問い合わせください