ja ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

リポジトリ内の脆弱な依存関係を表示・更新する

GitHub がプロジェクト内の脆弱性のある依存関係を発見した場合は、それらをリポジトリの [Dependabot alerts] タブで確認できます。 その後、プロジェクトを更新してこの脆弱性を解決することができます。

リポジトリ管理者と Organization のオーナーは、依存関係を表示および更新できます。

ここには以下の内容があります:

リポジトリの Dependabot アラートタブには、オープンおよびクローズしている Dependabot alerts、および対応する Dependabot security updates がすべて一覧表示されます。 ドロップダウンメニューを使用してアラートのリストを並べ替えることができます。また、特定のアラートをクリックしてその詳細を表示することもできます。 詳しい情報については、「脆弱性のある依存関係に対するアラートについて」を参照してください。

Dependabot alerts と依存関係グラフを使用するリポジトリの自動セキュリティ更新を有効にすることができます。 詳しい情報については、「Dependabot security updates について」を参照してください。

Additionally, GitHub can review any dependencies added, updated, or removed in a pull request made against the default branch of a repository, and flag any changes that would introduce a vulnerability into your project. This allows you to spot and deal with vulnerable dependencies before, rather than after, they reach your codebase. For more information, see "Reviewing dependency changes in a pull request."

リポジトリ内の脆弱性のある依存関係の更新について

GitHub generates Dependabot alerts when we detect that your codebase is using dependencies with known vulnerabilities. For repositories where Dependabot security updates are enabled, when GitHub detects a vulnerable dependency in the default branch, Dependabot creates a pull request to fix it. プルリクエストは、脆弱性を回避するために必要最低限の安全なバージョンに依存関係をアップグレードします。

脆弱性のある依存関係を表示して更新する

  1. GitHubで、リポジトリのメインページにアクセスしてください。
  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。
    セキュリティのタブ
  3. In the security sidebar, click Dependabot alerts.
    Dependabot alertsタブ
  4. 表示したいアラートをクリックします。
    アラートリストで選択されたアラート
  5. 脆弱性の詳細を確認し、可能な場合は、自動セキュリティアップデートを含むプルリクエストを確認します。
  6. 必要に応じて、アラートに対する Dependabot security updates アップデートがまだ入手できない場合、脆弱性を解決するプルリクエストを作成するには、[Create Dependabot security update] をクリックします。
    Dependabot セキュリティアップデートボタンを作成
  7. 依存関係を更新して脆弱性を解決する準備ができたら、プルリクエストをマージしてください。 Dependabot によって発行される各プルリクエストには、Dependabot の制御に使用できるコマンドの情報が含まれています。 詳しい情報については、「依存関係の更新に関するプルリクエストを管理する 」を参照してください。
  8. 必要に応じて、アラートが正しく修正されていない場合や、未使用のコード内に含まれている場合は、[Dismiss] ドロップダウンを使用して、アラートを却下する理由をクリックします。
    [Dismiss] ドロップダウンでアラートを却下する理由を選択する

参考リンク

Did this doc help you?

Privacy policy

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

OR, learn how to contribute.