Dependabot アラートについて

Dependabot alerts は、セキュリティ リスクになる前に、脆弱な依存関係を見つけて修正するのに役立ちます。

この機能を使用できるユーザーについて

Dependabot alerts は、組織所有およびユーザー所有のリポジトリで使用できます。

この記事で

ソフトウェアは多くの場合、さまざまなソースのパッケージに依存し、知らないうちにセキュリティの脆弱性を引き起こすことができる依存関係を作成します。 コードが既知のセキュリティの脆弱性を持つパッケージに依存している場合、攻撃者はシステムを悪用しようとする攻撃者のターゲットになり、コード、データ、顧客、または共同作成者にアクセスする可能性があります。 Dependabot alerts は、脆弱な依存関係について通知します。これにより、ユーザーは、安全なバージョンにアップグレードでき、プロジェクトを保護できます。

Dependabotがアラートを送信する場合

Dependabot は、リポジトリの既定のブランチをスキャンし、次の場合にアラートを送信します。

に追加します。

サポートされているエコシステムについては、 依存関係グラフがサポートされるパッケージ エコシステム を参照してください。

アラートについて

GitHub が脆弱な依存関係を検出すると、Dependabot アラートがリポジトリの [セキュリティ ] タブと依存関係グラフに表示されます。 各アラートには次のものが含まれます。

  • 影響を受けるファイルへのリンク
  • 脆弱性とその重大度に関する詳細
  • 固定バージョンに関する情報 (使用可能な場合)

アラートの表示と管理については、 Dependabot アラートの表示と更新 を参照してください。

アラートの有効化

リポジトリ管理者と組織の所有者は、自分のリポジトリでDependabot alertsを有効にできます。 有効にすると、GitHub は直ちに依存関係グラフを生成し、それが識別する脆弱な依存関係のアラートを作成します。

この機能を使うには、Enterprise 所有者が お使いの GitHub Enterprise Server インスタンス の Dependabot alerts を有効にする必要があります。 詳しくは、「エンタープライズ向けの Dependabot の有効化」をご覧ください。

Dependabot アラートの構成」を参照してください。

アラートの通知

既定では、GitHub は、次の両方のユーザーに新しいアラートに関する電子メール通知を送信します。

  • リポジトリに対する書き込み、保守、または管理者のアクセス許可を持っている
  • リポジトリを監視していて、セキュリティ アラートまたはリポジトリのすべてのアクティビティに対する通知を有効にしている

通知設定に関係なく、Dependabot を初めて有効にした場合、GitHub からは、リポジトリ内で検出されたすべての脆弱な依存関係についての通知は送信されません。 代わりに、通知設定で許可されている場合は、Dependabot が有効になった後に特定された新しい脆弱な依存関係に関する通知が送信されます。

通知の受信が多すぎる場合は、Dependabot 自動トリアージ ルール を利用して、リスクの低いアラートを自動無視することをお勧めします。 規則はアラート通知が送信される前に適用されるため、作成時に自動的に無視されたアラートで通知が送信されることはありません。 「Dependabot 自動トリアージ ルールについて」を参照してください。

または、毎週のメール ダイジェストを選択したり、Dependabot alerts を有効にしたまま通知を完全にオフにしたりすることもできます。

制限事項

Dependabot alerts には、いくつかの制限があります。

  • アラートでは、すべてのセキュリティの問題をキャッチすることはできません。 依存関係を常に確認し、マニフェストとロック ファイルを最新の状態に保ち、正確な検出を行います。
  • 新しい脆弱性が、GitHub Advisory Database に表示され、アラートがトリガーされるまで、時間がかかる場合があります。
  • GitHub によって確認されたアドバイザリのみがアラートをトリガーします。
  • Dependabot は、アーカイブされたリポジトリをスキャンしません。
  • Dependabot はマルウェアのアラートを生成しません。
  • GitHub Actions、Dependabot alerts は、SHA バージョン管理ではなくセマンティック バージョン管理を使用するアクションに対してのみ生成されます。

詳細については、次を参照してください。

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates)

  •         [AUTOTITLE](/code-security/getting-started/auditing-security-alerts)