Dependabot アラート フィルター

Dependabot alerts フィルターは、リポジトリ内の脆弱な依存関係に対するアラートの優先順位付けと管理に役立ちます。

検索バーにフィルターを key:value ペアとして入力すると、Dependabot alerts を並べ替えたりフィルター処理したりすることができます。

オプション説明
artifact-registry指定したリポジトリ マネージャーで運用環境に昇格された依存関係についてのみアラートが表示されます。
          `artifact-registry:jfrog-artifactory` では、JFrog Artifactory で運用環境に昇格された依存関係に関するアラートが表示されます。 |

| artifact-registry-url | 運用環境で承認されたレジストリ URL に存在する成果物に関連するアラートが表示されます。 | artifact-registry-url:my-registry.example.com を使うと、my-registry.example.com レジストリ URL に格納されている成果物に影響する脆弱性についてアラートが表示されます。 | | | | | | assignee | 指定したユーザーに割り当てられたアラートを表示します | assignee:octocat,hubotを使用して、octocatまたはhubotに割り当てられているすべてのアラートを表示します。 assignee:*を使用して、少なくとも 1 人の担当者とアラートを一覧表示するか、assignee:noneを使用して、担当者がいないアラートを一覧表示します。 | | | | CVE-ID| この CVE-ID に関連するアラートを表示します | CVE-2020-28482 を使うと、基になるアドバイザリにこの CVE ID 番号が含まれるアラートが表示されます。 | | ecosystem | 選んだエコシステムのアラートを表示します | ecosystem:npm を使用して npm の Dependabot alerts を表示します | | GHSA-ID| この GHSA-ID に関連するアラートを表示します | GHSA-49wp-qq6x-g2rf を使うと、基になるアドバイザリにこの GitHub Advisory Database ID が含まれるアラートが表示されます。 | | has | 選んだフィルター条件を満たすアラートを表示します | has:patch を使用して、パッチのあるアドバイザリに関連するアラートを表示します | | is | 状態に基づいてアラートを表示します | is:open を使用して、開いているアラートを表示します | | manifest | 選んだマニフェストのアラートを表示します | manifest:webwolf/pom.xml を使用して、Webwolf アプリケーションの pom.xml ファイルにアラートを表示します | | package | 選んだパッケージのアラートを表示します | package:django を使用して、django のアラートを表示します | | | | relationship | 選んだリレーションシップの状態のアラートを表示します
このフィルターは、推移的なサポートを備えたエコシステムでのみ使用できることに注意してください。 | 直接依存関係 (relationship:direct ラベルでマークされています) のアラートを表示するには、Direct を使います。 | | | | resolution | 選んだ解決状態のアラートを表示します | resolution:no-bandwidth を使用して、リソースまたは修正時間が足りなかったために以前にパークされたアラートを表示します | | repo | 関連するリポジトリに基づいてアラートを表示します
このフィルターは、セキュリティの概要でのみ使用できる点にご注意ください。 詳細については、「セキュリティの概要について」を参照してください | repo:octocat-repo を使用して、呼び出された octocat-repo リポジトリにアラートを表示します。 | | scope | 関連する依存関係のスコープに基づいてアラートを表示します | scope:development を使用して、開発中にのみ使用される依存関係のアラートを表示します | | severity | 重大度のレベルに基づいてアラートを表示します | severity:high を使用して、重大度が高いアラートを表示します | || | epss_percentage | EPSS が予測した悪用の確率に基づいてアラートを表示します | EPSS の割合が 1% を超えるアラートを表示するには、epss_percentage:>0.01 を使います | || | sort | 選んだ並べ替え順序に従ってアラートを表示します | アラートの既定の並べ替えオプションは sort:most-important であり、重要度でアラートが優先度付けされます
Dependabot から報告された最新のアラートを表示するには、sort:newest を使います
EPSS スコアの降順で並べ替えてアラートを表示するには、sort:epss-percentage を使います。 | | team | 指定したチームが書き込みアクセス権限または管理者アクセス権を持っているすべてのリポジトリのデータを表示します。 リポジトリのロールについて詳しくは、「Organizationのリポジトリロール」をご覧ください。 | team:octo-team を使って、octo-team チームが書き込みアクセス権限を持つリポジトリのアラートを表示します。 | | topic | 特定のトピックで分類されているすべてのリポジトリのデータを表示します。 リポジトリのトピックについて詳しくは、「トピックでリポジトリを分類する」をご覧ください。 | topic:nextjs を使って、nextjs トピックに分類されるリポジトリのアラートを表示します。 |

メモ

Exploit Prediction Scoring System (EPSS) は、スコア (0 から 100%) または今後 30 日間に脆弱性が悪用される確率と、パーセンタイル (n パーセンタイル) または脅威の相対的な尺度を提供します。 このスコアは、Forum of Incident Response and Security Teams (FIRST) から取得され、毎日更新されます。 詳細については、FIRST ドキュメントの「Exploit Prediction Scoring System」を参照してください。