Enterprise Server 3.20 は、現在リリース候補として使用できます。

Dependabot 自動トリアージ ルールについて

Dependabot はセキュリティアラートを処理する方法を制御します。これには、フィルタリング、無視、スヌーズ、またはセキュリティ更新のトリガーを含むさまざまな操作が含まれます。

この機能を使用できるユーザーについて

GitHub プリセット は、すべてのリポジトリの種類で使用できます。

カスタム自動トリアージ ルール は、次のリポジトリの種類で使用できます。

この記事で

Dependabot 自動トリアージ ルール について

Dependabot 自動トリアージ ルール を使用すると、Dependabot に対して、Dependabot alerts を自動的にトリアージするように指示することができます。 自動トリアージ ルール を使用して、特定のアラートを自動的に無視または再通知すること、あるいはアラートを指定し、そのアラートが発生したときに Dependabot から pull requests (プル リクエスト) を開くことができます。 ルールはアラート通知が送信される前に適用されるため、低リスクのアラートを自動的に無視するルールを有効にすると、その後は、一致するアラートによる通知ノイズを防止できます。

Dependabot 自動トリアージ ルール には、以下の 2 種類があります。

  • GitHub プリセット
  • カスタム自動トリアージ ルール

GitHub プリセット について

メモ

Dependabot alerts の はすべてのリポジトリで利用できるルールです。

GitHub プリセット は、GitHub によるキュレーション済みのルールです。

Dismiss low impact issues for development-scoped dependencies ルール は、開発で使用される npm 依存関係で見つかった特定のタイプの脆弱性を自動的に無視する GitHub プリセットです。 これらのアラートは、関連する脆弱性としてほとんどの開発者にとって誤ったアラームのように感じるケースを対象としています。

  • 開発者 (非運用またはランタイム) 環境で悪用される可能性が低い。
  • リソース管理、プログラミングとロジック、情報漏えいの問題に関連する場合がある。
  • 最悪の場合でも、ビルド速度の低下やテストの長時間化など、影響が限定的である。
  • 運用環境での問題を示すものではない。

このルールは、パブリック リポジトリに対して既定で有効になっており、プライベート リポジトリに対してオプトインすることができます。 手順については、「 プライベート リポジトリの Dismiss low impact issues for development-scoped dependencies ルールの有効化」を参照してください

ルールで使用される条件の詳細については、 GitHub のプリセットの Dependabot ルールで使用される CWEs を参照してください。

カスタム自動トリアージ ルール

について

メモ

Dependabot alerts の カスタム自動トリアージ ルール は、GitHub Code Security を有効にしている organization 所有リポジトリで使用できます。

カスタム自動トリアージ ルール を使用すると、独自のルールを作成し、対象のメタデータ、例えば重要度、パッケージ名、CWE などに基づいてアラートを自動的に無視すること、または再度開くことができます。 また、アラートを指定し、そのアラートが発生したときに Dependabot から pull requests (プル リクエスト) を開くこともできます。 詳しくは、「自動トリアージ ルールをカスタマイズして Dependabot アラートの優先度を設定する」をご覧ください。

リポジトリが、GitHub Code Security or GitHub Advanced Security のライセンスを持つ organization (組織) に属している場合は、リポジトリの [設定] タブからカスタム ルールを作成できます。 詳細については、「Adding custom auto-triage rules to your repository (カスタム自動トリアージ ルールをリポジトリに追加)」を参照してください。

アラートの自動的な無視について

自動トリアージ ルールを使用してアラートを自動的に無視するのが役に立つことがあります。一方、自動的に無視されたアラートを再度開くことや、フィルター処理して、どのアラートが自動的に無視されたか確認することもできます。 詳しくは、「Dependabot 自動トリアージ ルールによって自動的に無視されたアラートの管理」をご覧ください。

さらに、自動的に無視されたアラートは、レポートおよびレビューの目的で引き続き使用できます。また、アラート メタデータが変化した場合、自動的にもう一度開くこともできます。例:

  • 依存関係のスコープを開発から運用に変更する場合。
  • GitHub で、関連するアドバイザリの特定のメタデータを変更する場合。

自動無視されるアラートは、resolution:auto-dismiss クローズ理由によって定義されます。 自動無視アクティビティは、アラート Webhook、REST および GraphQL API、Audit log に含まれます。 詳細については、「Dependabot alerts 用の REST API エンドポイント」と、「repository_vulnerability_alert」内の「」セクションを参照してください。

詳細については、次を参照してください。

  •         [AUTOTITLE](/code-security/dependabot/dependabot-auto-triage-rules/using-github-preset-rules-to-prioritize-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-auto-triage-rules/customizing-auto-triage-rules-to-prioritize-dependabot-alerts)