Dependabot アラートの構成

新しい脆弱な依存関係がいずれかのリポジトリに見つかった場合に、Dependabot alerts が生成されるようにします。

この機能を使用できるユーザーについて

この記事で

Dependabot がリポジトリ内の脆弱な依存関係を検出すると、アラートが生成されます。 詳しくは、「Dependabot アラートについて」をご覧ください。

次の場合、Dependabot alerts を有効か無効にできます。

  • 個人アカウント
  • リポジトリ
  • 組織の

個人アカウントの Dependabot alerts の管理

個人アカウントが所有するすべてのリポジトリの Dependabot alerts を有効か無効にできます。

          <a href="https://github.com/settings/security_analysis?ref_product=github&ref_type=engagement&ref_style=button" target="_blank" class="btn btn-primary mt-3 mr-3 no-underline">セキュリティ設定 <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-link-external" aria-label="link external icon" role="img"><path d="M3.75 2h3.5a.75.75 0 0 1 0 1.5h-3.5a.25.25 0 0 0-.25.25v8.5c0 .138.112.25.25.25h8.5a.25.25 0 0 0 .25-.25v-3.5a.75.75 0 0 1 1.5 0v3.5A1.75 1.75 0 0 1 12.25 14h-8.5A1.75 1.75 0 0 1 2 12.25v-8.5C2 2.784 2.784 2 3.75 2Zm6.854-1h4.146a.25.25 0 0 1 .25.25v4.146a.25.25 0 0 1-.427.177L13.03 4.03 9.28 7.78a.751.751 0 0 1-1.042-.018.751.751 0 0 1-.018-1.042l3.75-3.75-1.543-1.543A.25.25 0 0 1 10.604 1Z"></path></svg> <span>に移動します</span>。</a>

既存のリポジトリに対する Dependabot alerts の有効化または無効化

  1. "Advanced Security" の右側にある Dependabot alerts で、[すべて無効] または [すべて有効] をクリックします。
  2. 必要に応じて、作成した新しいリポジトリで Dependabot alerts を既定で有効にするには、ダイアログ ボックスで [新しいリポジトリに対して既定で有効にする] を選びます。
  3.        **[Dependabot alertsを無効にする]** か **[Dependabot alertsを有効にする]** をクリックすると、所有しているすべてのリポジトリに対して Dependabot alerts を無効か有効にすることができます。

既存のリポジトリに対して Dependabot alerts を有効にすると、数分以内に GitHub に結果が表示されるようになります。

新規リポジトリに対する Dependabot alerts の有効化または無効化

  1. "Advanced Security" の右側にある Dependabot alerts で、[新しいリポジトリを自動的に有効化] を選択します。

リポジトリの Dependabot alerts の管理

パブリック、プライベートまたは内部リポジトリの Dependabot alerts を管理できます。

既定では、影響のあるリポジトリにいる書き込み、維持または管理者アクセス許可を保有しているユーザーに、新しい Dependabot alerts について通知します。 GitHub は、どのようなリポジトリに対しても、安全でない依存関係を公表することはありません。 Dependabot alerts を、自分が所有または管理者権限を持っているリポジトリで作業している追加のユーザーやチームに表示することもできます。

セキュリティ機能と分析機能を有効にした場合、GitHub はリポジトリで読み取り専用分析を実行します。

リポジトリに対する Dependabot alerts の有効化および無効化

  1. GitHub で、リポジトリのメイン ページに移動します。1. リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。
    1. サイドバーの [Security] セクションで、[ Advanced Security] をクリックします。

  2. "Advanced Security" の右側にある Dependabot alerts で、[有効化] をクリックして、アラートを有効にするか、[無効化] をクリックして、アラートを無効にします。

組織の Dependabot alerts の管理

組織内のすべての対象リポジトリに対して、Dependabot alerts を有効にできます。 詳しくは、「大規模なセキュリティ機能の有効化について」をご覧ください。

大規模な Dependabot alerts をルールを使用して管理する

さらに、Dependabot 自動トリアージ ルール を使用してアラートを大規模に管理できるため、アラートを自動的に閉じたりスヌーズしたりして、pull requestを開く Dependabot アラートを指定できます。 さまざまな種類の自動トリアージ ルールと、リポジトリが適格かどうかについては、「Dependabot 自動トリアージ ルールについて」を参照してください。