依存関係グラフの有効化

依存関係グラフを有効にすることで、ユーザーはプロジェクトの依存関係を識別できます。

この機能を使用できるユーザーについて

リポジトリの所有者、組織の所有者、セキュリティ マネージャー、および 管理者 ロールを持つユーザー

この記事で

依存関係グラフは、リポジトリに格納されているマニフェストおよびロック ファイルと 依存関係送信 API を使用してリポジトリに送信された依存関係の概要です。 詳しくは、「依存関係グラフについて」をご覧ください。

依存関係グラフを初めて有効化すると、サポートされているエコシステムのマニフェストおよびロックファイルがすぐに解析されます。 グラフは通常数分以内に入力されますが、多くの依存関係を持つリポジトリの場合は時間がかかる場合があります。 有効にすると、リポジトリにプッシュするたびに、またグラフ中の他のリポジトリにプッシュするたびに、グラフが自動的に更新されます。

リポジトリの依存関係グラフの有効化

依存関係グラフを有効にすると、GitHub は、リポジトリの依存関係マニフェストとロック ファイルへの読み取り専用アクセスを提供します。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [Security] セクションで、[ Advanced Security] をクリックします。

  4. リポジトリ データへの読み取りアクセスを GitHub に許可して依存関係グラフを有効にすることに関するメッセージを読んだうえで、[依存関係グラフ] の隣にある [有効] をクリックします。

    [Advanced Security] の [設定] ページにある [依存関係グラフ] の横の [無効] をクリックすると、いつでも依存関係グラフを無効にできます。

複数のリポジトリの依存関係グラフを有効にする

可視性に関係なく、ユーザー アカウントが所有するすべてのリポジトリの依存関係グラフを有効または無効にすることができます。 「セキュリティと分析機能の管理」を参照してください。

組織内の複数のリポジトリに対して同時に依存関係グラフを有効にすることもできます。 詳細については、「AUTOTITLE」

次のステップ

依存関係送信 API を使用すれば、マニフェストまたはロックファイル分析のための依存関係グラフでサポートされていないエコシステムであっても、パッケージマネージャーや使用したいエコシステムから依存関係を送信できます。 依存関係送信 API を使ってプロジェクトに送信された依存関係には、提出にどの検出機能が使われたか、いつ送信されたかが表示されます。 依存関係送信 API について詳しくは、「依存関係サブミッション API を使用する」をご覧ください。

依存関係グラフの表示の詳細については、「リポジトリの依存関係を調べる」を参照してください。

詳細については、次を参照してください。

  •           「[AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-automatic-dependency-submission-for-your-repository)」

  •         [AUTOTITLE](/organizations/collaborating-with-groups-in-organizations/viewing-insights-for-dependencies-in-your-organization)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/troubleshooting-dependabot/troubleshooting-the-detection-of-vulnerable-dependencies)