Dependabot 自動トリアージ ルールについて

Dependabot 自動トリアージ ルール は、大規模なセキュリティ アラートをより適切に管理するのに役立つ強力なツールです。 GitHub プリセット は、GitHub によってキュレーション済みのルールで、大量の偽陽性を除外する目的で使用できます。 カスタム自動トリアージ ルール は、どのアラートを無視するか、再通知するか、または Dependabot というセキュリティ更新プログラムをトリガーしてそのアラートを解決するか、という制御を実現します。

この機能を使用できるユーザーについて

GitHub プリセット は、すべてのリポジトリの種類で使用できます。

カスタム自動トリアージ ルール は、次のリポジトリの種類で使用できます。

この記事の内容

Dependabot 自動トリアージ ルール について

Dependabot 自動トリアージ ルール を使用すると、Dependabot に対して、Dependabot alerts を自動的にトリアージするように指示することができます。 自動トリアージ ルール を使用して、特定のアラートを自動的に無視または再通知すること、あるいはアラートを指定し、そのアラートが発生したときに Dependabot から pull requests (プル リクエスト) を開くことができます。 ルールはアラート通知が送信される前に適用されるため、低リスクのアラートを自動的に無視するルールを有効にすると、その後は、一致するアラートによる通知ノイズを防止できます。

Dependabot 自動トリアージ ルール には、以下の 2 種類があります。

  • GitHub プリセット
  • カスタム自動トリアージ ルール

GitHub プリセット について

メモ

Dependabot alerts の はすべてのリポジトリで利用できるルールです。

GitHub プリセット は、GitHub によるキュレーション済みのルールです。 Dismiss low impact issues for development-scoped dependencies は、GitHub プリセットルールです。 このルールでは、開発で使用される npm 依存関係で見つかった特定の種類の脆弱性は自動的に無視されます。 このルールは、誤検知を減らし、アラートの疲労を軽減するためにキュレーションされています。 GitHub プリセット を変更することはできません。 GitHub プリセット の詳細については、「GitHub プリセット ルールを使用して Dependabot アラートに優先順位を付ける」を参照してください。

このルールは、パブリック リポジトリに対して既定で有効になっており、プライベート リポジトリに対してオプトインすることができます。 プライベート リポジトリ向けのルールは、リポジトリの [設定] タブで有効にすることができます。 詳細については、「プライベート リポジトリの Dismiss low impact issues for development-scoped dependencies ルールを有効にする」を参照してください。

カスタム自動トリアージ ルール

について

メモ

Dependabot alerts の カスタム自動トリアージ ルール は、GitHub Advanced Security を有効にしている organization 所有リポジトリで使用できます。

カスタム自動トリアージ ルール を使用すると、独自のルールを作成し、対象のメタデータ、例えば重要度、パッケージ名、CWE などに基づいてアラートを自動的に無視すること、または再度開くことができます。 また、アラートを指定し、そのアラートが発生したときに Dependabot から pull requests (プル リクエスト) を開くこともできます。 詳しくは、「自動トリアージ ルールをカスタマイズして Dependabot アラートの優先度を設定する」をご覧ください。

リポジトリが、GitHub Advanced Security のライセンスを持つ organization (組織) に属している場合は、リポジトリの [設定] タブからカスタム ルールを作成できます。 詳細については、「Adding custom auto-triage rules to your repository (カスタム自動トリアージ ルールをリポジトリに追加)」を参照してください。

アラートの自動的な無視について

自動トリアージ ルールを使用してアラートを自動的に無視するのが役に立つことがあります。一方、自動的に無視されたアラートを再度開くことや、フィルター処理して、どのアラートが自動的に無視されたか確認することもできます。 詳しくは、「Dependabot 自動トリアージ ルールによって自動的に無視されたアラートの管理」をご覧ください。

さらに、自動的に無視されたアラートは、レポートおよびレビューの目的で引き続き使用できます。また、アラート メタデータが変化した場合、自動的にもう一度開くこともできます。例:

  • 依存関係のスコープを開発から運用に変更する場合。
  • GitHub で、関連するアドバイザリの特定のメタデータを変更する場合。

自動無視されるアラートは、resolution:auto-dismiss クローズ理由によって定義されます。 自動無視アクティビティは、アラート Webhook、REST および GraphQL API、Audit log に含まれます。 詳細については、「Dependabot alerts 用の REST API エンドポイント」と、「Organization の Audit log をレビューする」内の「repository_vulnerability_alert」セクションを参照してください。

詳細については、次を参照してください。

  •         [AUTOTITLE](/code-security/dependabot/dependabot-auto-triage-rules/using-github-preset-rules-to-prioritize-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-auto-triage-rules/customizing-auto-triage-rules-to-prioritize-dependabot-alerts)