依存関係の確認について
依存関係レビューを使うと、すべてのPull Reqeustにおける以下の変更による依存関係の変化とセキュリティについての影響を理解しやすくなります。pull request の [Files Changed](変更されたファイル) タブ上のリッチ diff で依存関係の変更をわかりやすく視覚化できます。 依存関係レビューは、以下のことを知らせます:
- リリース日と合わせて、追加、削除、更新された依存関係
- これらのコンポーネントを使うプロジェクトの数
- これらの依存関係に関する脆弱性のデータ
ライセンス チェック、pull request のブロック、CI/CD インテグレーションなどの一部の追加機能は、依存関係レビュー アクションを行うと利用できます。
ライセンスに含まれているかどうかを確認する Advanced Security
エンタープライズ設定を確認することで、企業が Advanced Security 製品のライセンスを持っているかどうかを確認できます。 詳しくは、「企業向けの GitHub Advanced Security 製品の有効化」をご覧ください。
依存関係レビューの前提条件
GitHub Code SecurityまたはGitHub Advanced Securityのライセンス (GitHub Advanced Security ライセンス請求 を参照)。
-
インスタンスに対して有効になっている依存関係グラフ。 サイト管理者は、管理コンソールまたは管理シェルを使って依存関係グラフを有効にすることができます (「企業の依存関係グラフの有効化」を参照)。
-
GitHub Connect を有効にすると、 GitHub Advisory Databaseから脆弱性をダウンロードして同期できます。 これは通常、 Dependabot の設定の一部として構成されます ( エンタープライズ向けの Dependabot の有効化 を参照)。
依存関係レビューを有効および無効にする
依存関係レビューを有効または無効にするには、インスタンスに対して依存関係グラフを有効または無効にする必要があります。
詳細については、「企業の依存関係グラフの有効化」を参照してください。
GitHub Actions を使用した依存関係レビューの実行
メモ
依存関係レビュー アクション は現在 パブリック プレビュー にあり、変更される可能性があります。
依存関係の確認アクションは、 GitHub Enterprise Serverのインストールに含まれています。
GitHub Code SecurityまたはGitHub Advanced Securityと依存関係グラフが有効になっているすべてのリポジトリで使用できます。
依存関係レビュー アクション では、pull request で依存関係の変更をスキャンし、新しい依存関係に既知の脆弱性がある場合にエラーを発生させます。 このアクションは、2 つのリビジョン間の依存関係を比較し、相違点を報告する API エンドポイントによってサポートされます。
アクションと API エンドポイントの詳細については、dependency-review-action ドキュメントと「依存関係レビュー用の REST API エンドポイント」を参照してください。
ユーザーは、 GitHub Actions ワークフローを使用して依存関係レビュー アクションを実行します。 GitHub Actionsのランナーをまだ設定していない場合は、ユーザーがワークフローを実行できるようにするには、これを行う必要があります。 セルフホストランナーは、リポジトリ、Organization、または Enterprise アカウントレベルでプロビジョニングできます。 詳細については、「セルフホステッド ランナー」と「自己ホストランナーの追加」を参照してください。