GitHub プリセット ルールを使用して Dependabot アラートに優先順位を付ける

GitHub によってキュレーションされた既定ルールである GitHub プリセット を使用すると、npm 依存関係の影響度の低い開発アラートを自動的に無視できます。

この機能を使用できるユーザーについて

  • 組織所有者
  • セキュリティマネージャー
  • 管理者アクセス権を持つユーザー (リポジトリの GitHub プリセット を有効化、無効化、表示できます)

この記事の内容

GitHub プリセット

について

          `Dismiss low impact issues for development-scoped dependencies` ルール は、開発で使用される npm 依存関係で見つかった特定のタイプの脆弱性を自動的に無視する GitHub プリセットです。 これらのアラートの対象となるケースは、関連する脆弱性が次のようなものであるため、ほとんどの開発者には誤報のように感じられます。
  • 開発者 (非運用またはランタイム) 環境で悪用される可能性が低い。
  • リソース管理、プログラミングとロジック、情報漏えいの問題に関連する場合がある。
  • 最悪の場合でも、ビルド速度の低下やテストの長時間化など、影響が限定的である。
  • 運用環境での問題を示すものではない。

メモ

影響の少ない開発アラートの自動無視は、現在、npm でのみサポートされています。

          `Dismiss low impact issues for development-scoped dependencies` ルールには、リソース管理、プログラミングとロジック、情報開示の問題に関連する脆弱性が含まれています。 詳しくは、「[`Dismiss low impact issues for development-scoped dependencies` ルールで使用される公開済み CWE](#publicly-disclosed-cwes-used-by-the-dismiss-low-impact-issues-for-development-scoped-dependencies-rule)」を参照してください。

これらの影響の少ないアラートを除外すると、リスクが高い可能性のある開発スコープのアラートを見逃すことを心配する必要がなくなり、自分にとって重要なアラートに集中できます。

          `Dismiss low impact issues for development-scoped dependencies` ルールはパブリック リポジトリではデフォルトで有効になり、プライベート リポジトリでは無効になります。 プライベート リポジトリの管理者は、リポジトリのルールを有効にすることでオプトインできます。

プライベート リポジトリの Dismiss low impact issues for development-scoped dependencies ルールを有効にする

最初に、リポジトリに対して Dependabot alertsを有効にする必要があります。 詳しい情報については、「Dependabot アラートの構成」を参照してください。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [Security] セクションで、[ Advanced Security] をクリックします。

  4. 「Dependabot alerts」で、「Dependabot ルール」近くの をクリックします。

    リポジトリの "Advanced Security" ページのスクリーンショット。 歯車アイコンがオレンジ色の枠線で強調表示されています。

  5. "GitHub プリセット" で、"開発スコープの依存関係に関する影響の少ない問題を無視する" の右側にある をクリックします。

  6. "状態" でドロップダウン メニューを選択し、"有効" をクリックします。

  7.        **[ルールを保存]** をクリックします。

ルール Dismiss low impact issues for development-scoped dependencies で使用される公開済み CWE

          `ecosystem:npm` および `scope:development` アラートのメタデータと共に、GitHub でキュレーションされた次の共通脆弱性タイプ一覧 (CWE) を使用して、`Dismiss low impact issues for development-scoped dependencies` ルールの影響の少ないアラートを除外します。 この一覧と、組み込みルールの対象となる脆弱性パターンを定期的に改善しています。

リソース管理の問題

  • CWE-400 未制御のリソース消費
  • CWE-770 制限またはスロットリングなしのリソースの割り当て
  • CWE-409 高圧縮データの不適切な処理 (データ増幅)
  • CWE-908 初期化されていないリソースの使用
  • CWE-1333 非効率的な正規表現の複雑さ
  • CWE-835 到達不能な終了条件を持つループ ('無限ループ')
  • CWE-674 不適切な再帰制御
  • CWE-1119 無条件分岐の過剰使用

プログラミングおよびロジックのエラー

  • CWE-185 不正な正規表現
  • CWE-754 例外的な状態における不適切なチェック
  • CWE-755 例外的な状態における不適切な処理
  • CWE-248 キャッチされない例外
  • CWE-252 未チェックの戻り値
  • CWE-391 未チェックのエラー状態
  • CWE-696 不正な動作順
  • CWE-1254 不正な比較ロジックの粒度
  • CWE-665 不適切な初期化
  • CWE-703 例外的な状況に対する不適切なチェックまたは処理
  • CWE-178 大文字と小文字の区別の不適切な処理

情報漏えいの問題

  • CWE-544 標準化されたエラー処理メカニズムの欠落
  • CWE-377 安全でない一時ファイル
  • CWE-451 ユーザー インターフェース (UI) における重要情報の誤った表示
  • CWE-668 誤った領域へのリソースの漏えい