Skip to main content
ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

プルリクエスト内の依存関係の変更をレビューする

プルリクエストに依存関係への変更が含まれている場合は、変更内容の概要と、依存関係に既知の脆弱性があるかどうかを確認できます。

Dependency review is enabled on public repositories. Dependency review is also available in private repositories owned by organizations that use GitHub Enterprise Cloud and have a license for GitHub Advanced Security. 詳しい情報については、「GitHub Advanced Security について」を参照してください。

依存関係のレビューについて

依存関係レビューを使うと、すべてのPull Reqeustにおける以下の変更による依存関係の変化とセキュリティについての影響を理解しやすくなります。 Pull Requestの"Files Changed(変更されたファイル)"タブ上のリッチdiffで、依存関係の変化を理解しやすく可視化します。 依存関係レビューは、以下のことを知らせます:

  • リリース日と合わせて、追加、削除、更新された依存関係。
  • これらのコンポーネントを使うプロジェクトの数。
  • これらの依存関係に関する脆弱性のデータ。

依存関係のレビューでは、「左にシフト」することができます。 提供された予測情報を使用して、本番環境に至る前に脆弱性のある依存関係をキャッチできます。 詳しい情報については「依存関係のレビュー」を参照してください。

You can use the Dependency Review GitHub Action to help enforce dependency reviews on pull requests in your repository. For more information, see "Dependency review enforcement."

プルリクエスト内の依存関係を確認する

  1. リポジトリ名の下で、クリックします Pull requests

    Issue とプルリクエストのタブの選択

  2. プルリクエストのリストで、レビューしたいプルリクエストをクリックします。

  3. プルリクエストで Files changed(変更されたファイル)をクリックしてください。 プルリクエストの変更されたファイルタブ

  4. プルリクエストに多数のファイルが含まれている場合は、[File filter] ドロップダウンメニューを使用して、依存関係を記録しないすべてのファイルを折りたたみます。 これにより、レビューを依存関係の変更に焦点を絞りやすくなります。

    ファイルフィルタメニュー The dependency review provides a clearer view of what has changed in large lock files, where the source diff is not rendered by default.

    Note: Dependency review rich diffs are not available for committed static JavaScript files like jquery.js.

  5. マニフェストまたはロックファイルのヘッダの右側で、リッチ diff ボタンをクリックして依存関係のレビューを表示します。

    リッチ diff ボタン

  6. 依存関係のレビューにリストされている依存関係を確認します。

    依存関係のレビューにおける脆弱性の警告

    脆弱性のある追加または変更された依存関係が最初に一覧表示され、次に重要度、依存関係名の順に並べられます。 これは、最も重要度の高い依存関係が、常に依存関係レビューの最上位に表示されるということです。 その他の依存関係は、依存関係名のアルファベット順に一覧表示されます。

    各依存関係の横にあるアイコンは、このプルリクエストで依存関係が追加された ()、更新された ()、削除された () ことを示しています。

    その他の情報は次のとおりです。

    • 新規、更新、または削除された依存関係のバージョンまたはバージョン範囲。
    • 依存関係の特定のバージョンの場合:
      • 依存関係のリリース時期。
      • このソフトウェアに依存しているプロジェクトの数。 この情報は、依存関係グラフから取得されます。 依存関係の数を確認すると、誤って間違った依存関係を追加することを防ぐことができます。
      • この依存関係で使用されるライセンス(この情報が利用可能な場合)。 これは、プロジェクトで特定のライセンスが使用されているコードを避ける必要がある場合に役立ちます。

    依存関係に既知の脆弱性がある場合、警告メッセージには次のものが含まれます。

    • 脆弱性の簡単な説明。
    • Common Vulnerabilities and Exposures (CVE) または GitHub Security Advisories (GHSA) 識別番号。 この ID をクリックすると、脆弱性の詳細を確認できます。
    • 脆弱性の重要度。
    • 脆弱性が修正された依存関係のバージョン。 誰かのプルリクエストを確認している場合は、パッチを適用したバージョンまたはそれ以降のリリースに依存関係を更新するようにコントリビューターに依頼することができます。
  7. 依存関係を変化させないような変更がマニフェストあるいはロックファイルに行われているかもしれず、あるいはGitHubがパースできず、その結果として依存関係レビューに現れてこない依存関係があるかもしれないので、ソースdiffをレビューしたいこともあるでしょう。

    ソースdiffのビューに戻るには、ボタンをクリックしてください。

    ソース diff ボタン