依存関係グラフについて
依存関係グラフは、リポジトリに格納されているマニフェストおよびロック ファイル、および 依存関係送信 API を使用してリポジトリに送信された依存関係の概要です。 それぞれのリポジトリについて、以下が表示されます:の依存関係、すなわちリポジトリが依存するエコシステムとパッケージ。
依存関係ごとに、バージョン、それを含むマニフェスト ファイル、既知の脆弱性があるかどうかを確認できます。 推移的な依存関係をサポートするパッケージ エコシステムの場合、リレーションシップの状態が表示され、[] をクリックしてから [Show paths] をクリックすると、その依存関係の基になっている推移パスを確認できます。
検索バーを使用して、特定の依存関係を検索することもできます。 依存関係は、脆弱なパッケージが先頭になるように自動的に並べ替えられます。
GitHub では、依存関係のライセンス情報は取得されず、あるリポジトリに依存する依存物、リポジトリ、パッケージに関する情報は計算されません。詳細については、「依存関係グラフ」を参照してください。
依存関係グラフを有効にすると、ユーザーは依存関係レビュー機能にアクセスできるようになります。 依存関係レビューを使うと、すべてのPull Reqeustにおける以下の変更による依存関係の変化とセキュリティについての影響を理解しやすくなります。詳細については、「依存関係の確認」を参照してください。
エンタープライズの依存関係グラフを有効にした後、 Dependabot を有効にして、リポジトリ内の安全でない依存関係を検出し、脆弱性を自動的に修正できます。 詳細については、「エンタープライズ向けの Dependabot の有効化」を参照してください。
依存関係グラフは、 [Management Console] または管理シェルを使用して有効にすることができます。 インスタンスでクラスタリングを使用しない限り、 [Management Console] を使用することをお勧めします。
を使用して依存関係グラフを有効にする [Management Console]
インスタンスでクラスタリングを使用している場合、 [Management Console] で依存関係グラフを有効にすることはできず、代わりに管理シェルを使用する必要があります。 詳細については、「Enabling the dependency graph via the administrative shell」 (管理シェルを使用した依存関係グラフの有効化) を参照してください。
-
http(s)://HOSTNAME/loginで お使いの GitHub Enterprise Server インスタンス にサインインします。 -
GitHub Enterprise Server の管理アカウントから、任意のページの右上隅にある をクリックします。
-
[サイト管理者] ページにまだ表示されていない場合は、左上隅の [サイト管理者] をクリックします。
-
[ Site admin] サイドバーで、[[Management Console]] をクリックします。
-
[設定] サイドバーで [セキュリティ] をクリックします。
-
[セキュリティ] で [依存関係グラフ] を選択します。
-
[設定] サイドバーで [設定の保存] をクリックします。
メモ
[Management Console] で設定を保存すると、システム サービスが再起動され、ユーザーにわかるダウンタイムが発生する可能性があります。
-
設定の実行が完了するのを待ってください。
-
[Visit your instance](インスタンスにアクセスする) をクリックします。
管理シェルを使用した依存関係グラフの有効化
-
http(s)://HOSTNAME/loginで お使いの GitHub Enterprise Server インスタンス にサインインします。 -
管理シェルで、依存関係グラフを有効化します。
ghe-config app.dependency-graph.enabled trueメモ
SSH による管理シェルへのアクセスを有効にする方法の詳細については、「管理シェル (SSH) にアクセスする」を参照してください。
-
構成を適用します。
ghe-config-apply -
GitHub Enterprise Server に戻ります。