自動トリアージ ルールをカスタマイズして Dependabot アラートの優先度を設定する

独自の 自動トリアージ ルール を作成して、どのアラートを破棄またはスヌーズするかを制御できます。また、プルリクエストを作成するアラートは Dependabot に任せることができます。

この機能を使用できるユーザーについて

  • 組織所有者
  • セキュリティマネージャー
  • 管理者アクセス権を持つユーザー (リポジトリの 自動トリアージ ルール を有効化、無効化、表示できるだけでなく、カスタム自動トリアージ ルール を作成することもできます)

GitHub プリセット は、すべてのリポジトリの種類で使用できます。

カスタム自動トリアージ ルール は、次のリポジトリの種類で使用できます。

  • GitHub.com 上のパブリックリポジトリ
  • GitHub Team が有効になっている GitHub Enterprise Cloud または GitHub Code Security 上の organization 所有のリポジトリ

この記事で

          カスタム自動トリアージ ルール の概要

アラート メタデータに基づいて独自の Dependabot 自動トリアージ ルール を作成できます。 アラートを無期限に自動的に解除するか、パッチが利用可能になるまで通知を一時停止するかを選択できます。また、どのDependabot alertsDependabotに対してプルリクエストを開くかを指定することもできます。 アラート通知が送信される前にルールが適用されるため、リスクの低いアラートを自動的に無視するカスタム ルールを作成すると、今後の通知ノイズが軽減されます。

作成するルールは将来のアラートと現在のアラートの両方に適用されるため、 自動トリアージ ルール を使用してアラートを一括管理することもできます。

リポジトリ管理者は、リポジトリの カスタム自動トリアージ ルール を作成できます。 プライベート リポジトリまたは内部リポジトリの場合、これには GitHub Code Security.

組織の所有者とセキュリティ マネージャーは、組織レベルで カスタム自動トリアージ ルール を設定し、組織内のすべてのパブリック リポジトリとプライベート リポジトリでルールを適用または有効にするかどうかを選択できます。

  • 適用: 組織レベルのルールが "適用" されると、リポジトリ管理者はルールを編集、無効化、または削除できません。
  • 有効: 組織レベルのルールが "有効"でも、リポジトリ管理者はリポジトリのルールを無効にできます。

メモ

組織レベルのルールとリポジトリ レベルのルールが競合する動作を指定した場合は、組織レベルのルールが設定したアクションが優先されます。 無視ルールは、プル要求 Dependabot トリガーするルールの前に常に作用します。

次のメタデータを使用すると、アラートを対象とするルールを作成できます。

  • CVE ID(共通脆弱性識別子)
  • CWE
  • 依存関係スコープ (devDependency または runtime)
  • エコシステム
  • GHSA識別子
  • マニフェスト パス (リポジトリレベルのルールのみ)
  • パッケージ名
  • パッチの可用性
  • Severity
  • EPSS スコア

          カスタム自動トリアージ ルールとDependabot security updatesの相互作用について

メモ

Dependabot は、Dependabot alerts ではなく、Dependabot malware alerts を解決するためたけにプル リクエストを開きます。

          カスタム自動トリアージ ルールを使用して、どのDependabot alertsがDependabotのためのプルリクエストを開くかを調整できます。 ただし、"pull request を開く" ルールを有効にするには、規則を適用するリポジトリ (またはリポジトリ) に対して Dependabot security updates が **無効** になっていることを確認する必要があります。

リポジトリに対して Dependabot security updates が有効になっている場合、 Dependabot は自動的に pull request を開いて、使用可能なパッチを持つ すべての 開いている Dependabot アラートを解決しようとします。 ルールを使用してこの動作をカスタマイズする場合は、 Dependabot security updates 無効のままにする必要があります。

リポジトリの Dependabot security updates の有効化または無効化の詳細については、 Dependabot セキュリティの更新の構成 を参照してください。

リポジトリへの カスタム自動トリアージ ルール の追加

メモ

          パブリック プレビュー中に、リポジトリに対して最大 10 個のカスタム自動トリアージ ルールを作成できます。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [Security] セクションで、[ Advanced Security] をクリックします。

  4. [Dependabot] セクションの [Dependabot 規則] の右側で、[] をクリックします。

  5. [新しいルール] をクリックします。

  6. 「ルール名前」の下で、このルールの実行内容を説明します。

  7. [状態] で、ドロップダウン メニューを使用して、リポジトリに対してルールを有効または無効にするかどうかを選択します。

  8. 「ターゲット アラート」で、アラートのフィルター処理に使用するメタデータを選択します。

  9. [ルール] で、メタデータと一致するアラートに対して実行するアクションを選択します。

    • メタデータと一致するアラートを自動的に無視するには、[アラートを無視] を選択します。 アラートを無期限に自動無視するか、パッチが利用可能になるまでスヌーズすることができます。

    • 対象のメタデータに一致するアラートを解決するための変更を提案したい場合は、[プルリクエストを開く] を選択して、アラートを解決するための提案を行います。 このオプションは、アラートを無期限に無視するオプションを既に選択している場合、またはリポジトリ設定で Dependabot security updates が有効になっている場合は使用できないことに注意してください。

      メモ

      Dependabot は、Dependabot alerts ではなく、Dependabot malware alerts を解決するためたけにプル リクエストを開きます。

  10. [ルールの作成] をクリックします。

組織への カスタム自動トリアージ ルール の追加

組織内のすべての対象となるリポジトリの カスタム自動トリアージ ルール を追加できます。 詳しくは、「組織のグローバル セキュリティ設定の構成」をご覧ください。

リポジトリの カスタム自動トリアージ ルール の編集または削除

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [Security] セクションで、[ Advanced Security] をクリックします。

  4. [Dependabot] セクションの [Dependabot 規則] の右側で、[] をクリックします。

  5. [リポジトリルール]で、編集または削除するルールの右側にある をクリックします。

  6. ルールを編集するには、該当するフィールドに変更を加え、[ルールの保存] をクリックします。

  7. ルールを削除するには、[Danger Zone] で [ルールの削除] をクリックします。

  8. [このルールを削除しますか?] ダイアログ ボックスで情報を確認し、[ルールの削除] をクリックします。

組織の カスタム自動トリアージ ルール の編集または削除

組織内のすべての対象リポジトリの カスタム自動トリアージ ルール を編集または削除できます。 詳しくは、「組織のグローバル セキュリティ設定の構成」をご覧ください。