脆弱な依存関係とマルウェアに関する Dependabot alertsについて
脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。 脆弱性の種類、重要度、攻撃の方法は様々です。
GitHub Advisory Database に新しいアドバイザリが追加されたとき、またはリポジトリの依存関係グラフが変更されたとき、Dependabot によってコードがスキャンされます。 脆弱な依存関係またはマルウェアが検出されると、Dependabot alertsが生成されます。 詳しくは、「Dependabot アラートについて」を参照してください。
If you have enabled Dependabot security updatesをリポジトリに対して有効にしている場合、アラートには、脆弱性を解決する最小バージョンにマニフェストまたはロック ファイルを更新するための pull request へのリンクも含まれる場合があります。 詳しくは、「Dependabot のセキュリティ アップデート」を参照してください。
次の場合、Dependabot alerts を有効か無効にできます。
- 個人アカウント
- リポジトリ
- 組織
さらに、Dependabot アラート ルールを使用して、さまざまなコンテキスト抽出条件の複雑なロジックに基づいて、誤検知アラートや関心のないアラートを除外できます。 詳しくは、「Dependabot アラート ルールについて」を参照してください。
個人アカウントの Dependabot alerts の管理
個人アカウントが所有するすべてのリポジトリの Dependabot alerts を有効か無効にできます。
既存のリポジトリに対する Dependabot alerts の有効化または無効化
-
任意のページで、右上隅にあるプロファイルの画像をクリックし、次に[設定]をクリックします。
![GitHub のアカウント メニューのスクリーンショット。ユーザーがプロファイル、コンテンツ、設定を表示および編集するためのオプションが表示されています。 メニュー項目 [設定] が濃いオレンジ色の枠線で囲まれています。](/web/20231012062318im_/https://docs.github.com/assets/cb-65929/images/help/settings/userbar-account-settings.png)
-
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
-
Code security and analysis で、Dependabot alerts の右側にある [すべて無効にする] か [すべて有効にする] をクリックします。
-
必要に応じて、作成した新しいリポジトリで Dependabot alerts を既定で有効にするには、ダイアログ ボックスで [新しいリポジトリに対して既定で有効にする] を選びます。
-
[Dependabot alertsを無効にする] か [Dependabot alertsを有効にする] をクリックすると、所有しているすべてのリポジトリに対して Dependabot alerts を無効か有効にすることができます。
![GitHub のアカウント メニューのスクリーンショット。ユーザーがプロファイル、コンテンツ、設定を表示および編集するためのオプションが表示されています。 メニュー項目 [設定] が濃いオレンジ色の枠線で囲まれています。](/web/20231012062318im_/https://docs.github.com/assets/cb-65929/mw-1440/images/help/settings/userbar-account-settings.webp)
既存のリポジトリに対して Dependabot alerts を有効にすると、数分以内に GitHub に結果が表示されるようになります。
新規リポジトリに対する Dependabot alerts の有効化または無効化
-
任意のページで、右上隅にあるプロファイルの画像をクリックし、次に[設定]をクリックします。
-
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
-
[コード セキュリティと分析] の Dependabot alerts の右側にある [新しいリポジトリに対して自動的に有効にする] を選びます。
リポジトリの Dependabot alerts の管理
パブリック、プライベート、または内部リポジトリの Dependabot alerts を管理できます。
既定では、新しいDependabot alertsに関して影響を受けるリポジトリに書き込み、保守、または管理アクセス権を持つ人に通知されます。 GitHub は、どのようなリポジトリについても、安全でない依存関係を公表することはありません。 Dependabot alerts を、自分が所有または管理者権限を持っているリポジトリで作業している追加のユーザーやチームに表示することもできます。
セキュリティ機能と分析機能を有効にした場合、GitHub はリポジトリで読み取り専用分析を実行します。
リポジトリに対する Dependabot alerts の有効化および無効化
-
GitHub.com で、リポジトリのメイン ページへ移動します。
-
リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。](/web/20231012062318im_/https://docs.github.com/assets/cb-28266/images/help/repository/repo-actions-settings.png)
-
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
-
[コードのセキュリティと分析] で、Dependabot alertsの右側にある [有効にする] をクリックしてアラートを有効にするか、 [無効にする] をクリックしてアラートを無効にします。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。](/web/20231012062318im_/https://docs.github.com/assets/cb-28266/mw-1440/images/help/repository/repo-actions-settings.webp)
組織の Dependabot alerts の管理
組織が所有する一部またはすべてのリポジトリに対して、Dependabot alerts を有効または無効にできます。 組織全体でセキュリティ機能を有効にする方法の詳細については、「組織のセキュリティ保護」を参照してください。
既存のすべてのリポジトリに対する Dependabot alerts の有効化または無効化
[コードのセキュリティと分析] の組織設定ページを使って、組織内のすべての既存リポジトリで Dependabot alerts を有効にできます。
-
GitHub.com の右上隅にあるプロファイル写真をクリックし、次に自分の組織をクリックします。
![@octocat のプロファイル写真の下にあるドロップダウン メニューのスクリーンショット。 [Your organizations] (自分の組織) が濃いオレンジ色の枠線で囲まれています。](/web/20231012062318im_/https://docs.github.com/assets/cb-24939/images/help/profile/your-organizations.png)
-
組織の隣の [設定] をクリックします。
-
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
-
Code security and analysis で、Dependabot alerts の右側にある [すべて無効にする] か [すべて有効にする] をクリックします。
-
必要に応じて、組織の新しいリポジトリで Dependabot alerts を既定で有効にするには、ダイアログ ボックスで [新しいリポジトリに対して既定で有効にする] を選びます。
-
[Dependabot alertsを無効にする] か [Dependabot alertsを有効にする] をクリックすると、組織内のすべてのリポジトリに対して Dependabot alerts を無効か有効にすることができます。
![@octocat のプロファイル写真の下にあるドロップダウン メニューのスクリーンショット。 [Your organizations] (自分の組織) が濃いオレンジ色の枠線で囲まれています。](/web/20231012062318im_/https://docs.github.com/assets/cb-24939/mw-1440/images/help/profile/your-organizations.webp)