このバージョンの GitHub Enterprise サーバーはこの日付をもって終了となりました: 2026-03-17. 重大なセキュリティの問題に対してであっても、パッチリリースは作成されません。 パフォーマンスの向上、セキュリティの向上、新機能の向上を図るために、最新バージョンの GitHub Enterprise サーバーにアップグレードしてください。 アップグレードに関するヘルプについては、GitHub Enterprise サポートにお問い合わせください

Dependabot 自動トリアージ ルールについて

Dependabot はセキュリティアラートを処理する方法を制御します。これには、フィルタリング、無視、スヌーズ、またはセキュリティ更新のトリガーを含むさまざまな操作が含まれます。

この機能を使用できるユーザーについて

GitHub プリセット は、すべてのリポジトリの種類で使用できます。

カスタム自動トリアージ ルール は、次のリポジトリの種類で使用できます。

この記事で

Dependabot 自動トリアージ ルール について

Dependabot 自動トリアージ ルール を使用すると、Dependabot は自動で、Dependabot alerts をトリアージします。 自動トリアージ ルール を使用すると、次のことができます。

  • 特定のアラートを自動的に解消または一時停止する
  • Dependabot がプル リクエストを開くように Dependabot alerts を指定します。

アラート通知が送信される前にルールが適用されるため、リスクの低いアラートを自動的に無視するルールを有効にすると、通知ノイズを減らすことができます。

Dependabot 自動トリアージ ルール には、以下の 2 種類があります。

  • GitHub プリセット
  • カスタム自動トリアージ ルール

GitHub プリセット について

GitHub プリセット は、 GitHub によってキュレーションされたルールであり、すべてのリポジトリで使用できます。

開発スコープの依存関係に対する影響の少ない問題を無視する

Dismiss low impact issues for development-scoped dependencies ルール は、開発で使用される npm 依存関係で見つかった特定のタイプの脆弱性を自動的に無視する GitHub プリセットです。 これらのアラートは、関連する脆弱性としてほとんどの開発者にとって誤ったアラームのように感じるケースを対象としています。

  • 開発者 (非運用またはランタイム) 環境で悪用される可能性が低い。
  • リソース管理、プログラミングとロジック、情報漏えいの問題に関連する場合がある。
  • 最悪の場合でも、ビルド速度の低下やテストの長時間化など、影響が限定的である。
  • 運用環境での問題を示すものではない。

このルールは、パブリック リポジトリに対して既定で有効になっており、プライベート リポジトリに対してオプトインすることができます。 手順については、「 プライベート リポジトリの Dismiss low impact issues for development-scoped dependencies ルールの有効化」を参照してください

ルールで使用される条件の詳細については、 GitHub のプリセットの Dependabot ルールで使用される CWEs を参照してください。

カスタム自動トリアージ ルール

について

メモ

Dependabot alerts の カスタム自動トリアージ ルール は、GitHub Advanced Security を有効にしている organization 所有リポジトリで使用できます。

カスタム自動トリアージ ルール を使用すると、独自のルールを作成し、対象のメタデータ、例えば重要度、パッケージ名、CWE などに基づいてアラートを自動的に無視すること、または再度開くことができます。 Dependabot がプル リクエストを開くように Dependabot alerts を指定することもできます。 詳しくは、「自動トリアージ ルールをカスタマイズして Dependabot アラートの優先度を設定する」をご覧ください。

リポジトリが、GitHub Advanced Security のライセンスを持つ organization (組織) に属している場合は、リポジトリの [設定] タブからカスタム ルールを作成できます。 詳細については、「Adding custom auto-triage rules to your repository (カスタム自動トリアージ ルールをリポジトリに追加)」を参照してください。

アラートの自動的な無視について

自動トリアージ ルールを使用してアラートを自動的に無視するのが役に立つことがあります。一方、自動的に無視されたアラートを再度開くことや、フィルター処理して、どのアラートが自動的に無視されたか確認することもできます。 詳しくは、「Dependabot 自動トリアージ ルールによって自動的に無視されたアラートの管理」をご覧ください。

さらに、自動的に無視されたアラートは、レポートおよびレビューの目的で引き続き使用できます。また、アラート メタデータが変化した場合、自動的にもう一度開くこともできます。例:

  • 依存関係のスコープを開発から運用に変更する場合。
  • GitHub で、関連するアドバイザリの特定のメタデータを変更する場合。

自動無視されるアラートは、resolution:auto-dismiss クローズ理由によって定義されます。 自動無視アクティビティは、アラート Webhook、REST および GraphQL API、Audit log に含まれます。 詳細については、「Dependabot alerts 用の REST API エンドポイント」と、「repository_vulnerability_alert」内の「」セクションを参照してください。

次のステップ

Dependabot 自動トリアージ ルール の使用を開始するには、 GitHub プリセット ルールを使用して Dependabot アラートに優先順位を付ける を参照してください。

自動トリアージ エクスペリエンスをカスタマイズするには、 自動トリアージ ルールをカスタマイズして Dependabot アラートの優先度を設定する を参照してください。