Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.
All products
コードセキュリティ

Configuring notifications for Dependabot alerts

In this article

Optimize how you receive notifications about Dependabot alerts.

Dependabot alerts の通知について

リポジトリ内で Dependabot によって脆弱な依存関係やマルウェアが検出されると、Dependabot アラートが生成され、そのリポジトリの [セキュリティ] タブに表示されます。 GitHub では、影響を受けるリポジトリのメンテナーに、その通知設定に従って新しいアラートを通知します。 Dependabot は、すべてのパブリック リポジトリで既定で有効で、プライベート リポジトリでは有効にする必要があります。 既定では、メールで Dependabot alerts が通知されます。 既定の全体の動作をオーバーライドするには、受信する通知の種類を選ぶか、https://github.com/settings/notifications のユーザー通知の設定ページで通知を完全にオフにします。

Organization のオーナーの場合は、ワンクリックで Organization 内のすべてのリポジトリに対して Dependabot alerts を有効または無効にできます。 また、新しく作成されたリポジトリに対して Dependabot alerts を有効にするか無効にするかを設定することもできます。 詳細については、「Managing security and analysis settings for your organization (組織のセキュリティと分析の設定を管理する)」を参照してください。

Dependabot alertsの通知設定

新しい Dependabot のアラートが検出されると、GitHub によって、通知の設定に従って、リポジトリについて Dependabot alerts にアクセスできるすべてのユーザーに通知されます。 あなたがリポジトリを監視しており、セキュリティ アラートまたはリポジトリ上のすべてのアクティビティの通知を有効にしていて、リポジトリを無視していない場合は、アラートが通知されます。 詳細については、「通知の設定」を参照してください。

各ページの上部に表示される [Manage notifications] ドロップダウン から、自分または Organization の通知設定を構成できます。 詳細については、「通知の設定」を参照してください。

通知の配信方法と、通知が送信される頻度を選択できます。 既定では、次のようにして通知を受け取ります。

  • インボックス (Web 通知として)。 Web 通知は、Dependabot がリポジトリで有効にされていて、新しいマニフェスト ファイルがリポジトリにコミットされたときに、重要度が重大または高の新しい脆弱性が見つかった場合に送信されます ( [GitHub 上] オプション)。

  • メール。Dependabot がリポジトリで有効にされていて、新しいマニフェスト ファイルがリポジトリにコミットされたときに、重要度が重大または高の新しい脆弱性が見つかると、メールが送信されます ( [Email] オプション)。

  • コマンド ライン。セキュリティで保護されていない依存関係を使用してリポジトリにプッシュすると、警告がコールバックとして表示されます ( [CLI] オプション)。

  • GitHub Mobileでは、Web通知として表示されます。 詳しくは、「Configuring notifications」をご覧ください。

注: メールと Web/GitHub Mobile の通知は次のとおりです。

  • Dependabot がリポジトリで有効にされているとき、または新しいマニフェスト ファイルがリポジトリにコミットされたときは、リポジトリごと

  • 新しい脆弱性が検出されたときは、Organization ごと

Dependabot alertsに関する通知を受け取る方法をカスタマイズできます。 たとえば、 [週単位のメール ダイジェスト] オプションを使用すると、最大 10 個のリポジトリについてアラートを要約した週単位のダイジェスト メールを受け取ることができます。

Dependabot alerts オプションのスクリーンショット

注: GitHub で通知をフィルター処理して、Dependabot alerts を表示できます。 詳細については、「受信トレイからの通知の管理」を参照してください。

1 つ以上のリポジトリに影響する Dependabot alerts のメール通知には、X-GitHub-Severity ヘッダー フィールドが含まれます。 X-GitHub-Severity ヘッダー フィールドの値を使用して、Dependabot alerts のメール通知をフィルター処理できます。 詳しくは、通知の構成に関するページをご覧ください。

Dependabot alerts の通知によるノイズを軽減する方法

Dependabot alertsの通知をあまりに多く受け取ることが心配なら、週次のメールダイジェストにオプトインするか、Dependabot alertsを有効化したままで通知をオフにすることをおすすめします。 移動してリポジトリの [セキュリティ] タブで Dependabot alerts を確認するのは引き続き可能です。詳しくは、「Dependabot alertsの表示と更新」をご覧ください。

参考資料