メモ
この機能を使用するには、サイト管理者が お使いの GitHub Enterprise Server インスタンスの Dependabot updatesを設定する必要があります。 詳細については、「エンタープライズ向けの Dependabot の有効化」を参照してください。
Enterprise 所有者が Enterprise レベルでポリシーを設定している場合、Dependabot updates を有効または無効にできない場合があります。 詳しくは、「エンタープライズのコード セキュリティと分析のためのポリシーの適用」をご覧ください。
リポジトリの [Dependabot alerts] タブには、オープンおよびクローズされたすべての Dependabot alerts および対応する Dependabot security updates が一覧表示されます。 パッケージ、エコシステム、マニフェストでアラートをフィルター処理できます。 アラートの一覧を並べ替えたり、特定のアラートをクリックしてその詳細を表示したりすることができます。 アラートを 1 つずつ、または複数のアラートを一度に選択して、閉じるか、再度開くこともできます。 詳しくは、「Dependabot アラートについて」をご覧ください。
リポジトリ内の脆弱性のある依存関係の更新について
各 Dependabot アラートには一意の数値識別子があり、[Dependabot alerts] タブには、検出された各脆弱性に対するアラートが一覧表示されます。 従来の Dependabot alertsでは、依存関係ごとに脆弱性がグループ化され、依存関係ごとに 1 つのアラートが生成されていました。 従来の Dependabot アラートに移動すると、そのパッケージに対してフィルター処理された [Dependabot alerts] タブにリダイレクトされます。
ユーザー インターフェイスで使用できるさまざまなフィルターと並べ替えオプションを使用すると、Dependabot alerts をフィルター処理して並べ替えることができます。 詳細については、以下の 「Dependabot alerts」の表示と優先順位付け を参照してください。
Dependabot アラートに応答するために行われたアクションを監査することもできます。 詳しくは、「セキュリティ アラートの監査」をご覧ください。
Dependabot alerts の表示および優先順位付け
Dependabot alerts を表示、並べ替え、フィルター処理すると、最も重要なアラートに集中できます。
既定では、アラートは [最も重要] で並べ替えられます。これにより、潜在的な影響、アクション可能性、関連性などの要因に基づいて修正プログラムの優先順位を付けるのに役立ちます。 この優先順位付けは継続的に改善され、CVSS スコア、依存関係スコープ、脆弱な関数呼び出しが検出されるかどうかなどのシグナルが考慮されます。
リポジトリのDependabot alertsタブの開いた・閉じたすべてのDependabot alertsおよび対応するDependabot security updatesを表示できます。
-
GitHub で、リポジトリのメイン ページに移動します。
-
リポジトリ名の下にある [Security] をクリックします。 [Security] タブが表示されない場合は、 ドロップダウン メニューを選んでから、[Security] をクリックします。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-17801/images/help/repository/security-tab.png)
-
セキュリティの概要の [脆弱性アラート] サイド バーで、 [Dependabot] をクリックします。 このオプションがない場合は、セキュリティ アラートにアクセスできないため、アクセス権を付与する必要があることを意味します。 詳細については、「リポジトリのセキュリティと分析設定を管理する」を参照してください
![セキュリティの概要のスクリーンショット。[Dependabot] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-18195/images/enterprise/repository/dependabot-alerts-tab.png)
-
必要に応じて、アラートの一覧を絞り込みます。
-
一覧の上部にあるドロップダウン メニューを使用して、アラートを並べ替えたりフィルター処理したりします。
![[Dependabot alerts] タブのフィルター メニューと並べ替えメニューのスクリーンショット。](/assets/cb-8537/images/help/graphs/dependabot-alerts-filters-checkbox.png)
-
検索バーに直接入力して、アラートの詳細と関連するセキュリティ アドバイザリ全体のフルテキスト検索など、アラートをフィルター処理します。
-
アラートのラベルをクリックすると、そのラベルでリストが自動的にフィルター処理されます。
-
開発の依存関係に影響するアラートを特定するには、
scope:developmentフィルターでフィルター処理するか、"開発" というラベルの付いたアラートを探します。 これは、運用環境の依存関係に影響を与えるアラートの優先順位を最初に設定するのに役立ちます。
-
-
アラートをクリックすると、その詳細が表示されます。 開発スコープの依存関係のアラートには、アラートの詳細ページの [タグ] セクションに "開発" ラベルが含まれます。
![アラート詳細ページの [タグ] セクションを示すスクリーンショット。](/assets/cb-80416/images/help/repository/dependabot-alerts-tags-section.png)
-
必要に応じて、関連するセキュリティ アドバイザリの改善を提案するには、アラート詳細ページの右側にある [GitHub Advisory Database でこのアドバイザリの改善を提案する] をクリックします。 「GitHub Advisory Database でのセキュリティ アドバイザリの編集」を参照してください。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-17801/mw-1440/images/help/repository/security-tab.webp)
![セキュリティの概要のスクリーンショット。[Dependabot] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-18195/mw-1440/images/enterprise/repository/dependabot-alerts-tab.webp)
![[Dependabot alerts] タブのフィルター メニューと並べ替えメニューのスクリーンショット。](/assets/cb-8537/mw-1440/images/help/graphs/dependabot-alerts-filters-checkbox.webp)
![アラート詳細ページの [タグ] セクションを示すスクリーンショット。](/assets/cb-80416/mw-1440/images/help/repository/dependabot-alerts-tags-section.webp)
アラートの優先順位付けのヒント
-
**最も重要な**並べ替え順序を使用して、潜在的な影響が最も高いアラートに集中します。 - 開発の依存関係よりも運用環境の依存関係に影響するアラートに優先順位を付けます。
- Dependabot 自動トリアージ ルール を使って、アラートに自動で優先順位を付けたり管理したりします。 「Dependabot 自動トリアージ ルールについて」を参照してください。
依存関係スコープでサポートされているエコシステムとマニフェスト ファイルの詳細については、 依存関係スコープでサポートされるエコシステムとマニフェスト を参照してください。
使用可能なフィルターの完全な一覧については、 AUTOTITLE を参照してください。
プログラムでアラートを取得するには、 Dependabot alerts 用の REST API エンドポイント を参照してください。
アラートの確認と修正
Dependabot アラートの詳細を確認すると、脆弱性およびその対応策を把握できます。
脆弱性のある依存関係を修正する
-
アラートの詳細を表示します。 詳細については、上記のDependabot alertsの表示と優先順位付けを参照してください。
-
Dependabot security updatesが有効になっている場合は、依存関係を修正する Pull Request へのリンクが存在する可能性があります。 または、アラートの詳細ページの上部にある [Dependabot セキュリティ更新プログラムを作成する] をクリックして Pull Request を作成することもできます。
![Dependabot アラートのスクリーンショット。[Dependabot セキュリティ更新プログラムの作成] ボタンが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-35731/images/help/repository/create-dependabot-security-update-button-ungrouped.png)
-
Dependabot security updatesを使用しない場合は、必要に応じて、ページの情報を使用してアップグレード先の依存関係のバージョンを決定し、セキュリティで保護されたバージョンに依存関係を更新する Pull Request を作成することができます。
-
依存関係を更新して脆弱性を解決する準備ができたら、プルリクエストをマージしてください。
Dependabot によって発行される各プル リクエストには、Dependabot の制御に使用できるコマンドの情報が含まれています。 詳しくは、「依存関係の更新に関するPull Requestを管理する」をご覧ください。
![Dependabot アラートのスクリーンショット。[Dependabot セキュリティ更新プログラムの作成] ボタンが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-35731/mw-1440/images/help/repository/create-dependabot-security-update-button-ungrouped.webp)
Dependabot alertsを無視する
メモ
無視できるのは、オープン アラートのみです。
依存関係をアップグレードするための広範な作業をスケジュールする場合や、アラートを修正する必要がないと判断した場合は、アラートを無視できます。 既に評価済みのアラートを無視すると、新しいアラートが表示されたときに簡単にトリアージできます。
-
[Dependabot alerts を表示して優先する](#viewing-and-prioritizing-dependabot-alerts) (上記)。 -
[無視する] ドロップダウンを選択し、アラートを無視する理由をクリックします。 修正されていない無視されたアラートは、後で再度開くことができます。
-
必要に応じて、無視のコメントを追加します。 無視のコメントはアラート タイムラインに追加され、監査と報告の間に正当な理由として使用できます。 GraphQL API を使用して、コメントを取得または設定できます。 コメントは
dismissCommentフィールドに含まれています。 詳細については、GraphQL API ドキュメントの「AUTOTITLE」を参照してください。![[無視する] ドロップダウンと無視のコメントを追加するオプションがオレンジ色の枠線で囲まれている状態の Dependabot アラート ページのスクリーンショット。](/assets/cb-72787/images/help/repository/dependabot-alerts-dismissal-comment.png)
-
[アラートを無視] をクリックします。
![[無視する] ドロップダウンと無視のコメントを追加するオプションがオレンジ色の枠線で囲まれている状態の Dependabot アラート ページのスクリーンショット。](/assets/cb-72787/mw-1440/images/help/repository/dependabot-alerts-dismissal-comment.webp)
複数のアラートを一度に却下する
- オープンの Dependabot alerts を表示します。
- 必要に応じて、ドロップダウン メニューを選び、適用するフィルターをクリックして、アラートの一覧をフィルター処理します。 検索バーにフィルターを入力することもできます。
- 各アラートのタイトルの左側で、無視するアラートを選びます。
- 必要に応じて、アラートの一覧の上部で、ページ上のすべてのアラートを選びます。
![Dependabot alerts ビューのヘッダー セクションのスクリーンショット。 [すべて選択] チェックボックスが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-8437/images/help/graphs/select-all-alerts.png)
- [アラートを無視する] ドロップダウンを選び、アラートを無視する理由をクリックします。
![アラートのリストのスクリーンショット。 [アラートを無視する] ボタンの下に、[無視する理由を選択] というラベルが付いたドロップダウンが展開されます。](/assets/cb-31119/images/help/graphs/dismiss-multiple-alerts.png)
![Dependabot alerts ビューのヘッダー セクションのスクリーンショット。 [すべて選択] チェックボックスが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-8437/mw-1440/images/help/graphs/select-all-alerts.webp)
![アラートのリストのスクリーンショット。 [アラートを無視する] ボタンの下に、[無視する理由を選択] というラベルが付いたドロップダウンが展開されます。](/assets/cb-31119/mw-1440/images/help/graphs/dismiss-multiple-alerts.webp)
クローズされたアラートの表示と更新
開いているすべてのアラートを表示し、以前に却下したアラートをもう一度開くことができます。 既に修復済みのクローズされたアラートをもう一度開くことはできません。
-
GitHub で、リポジトリのメイン ページに移動します。
-
リポジトリ名の下にある [Security] をクリックします。 [Security] タブが表示されない場合は、 ドロップダウン メニューを選んでから、[Security] をクリックします。
-
セキュリティの概要の [脆弱性アラート] サイド バーで、 [Dependabot] をクリックします。 このオプションがない場合は、セキュリティ アラートにアクセスできないため、アクセス権を付与する必要があることを意味します。 詳細については、「リポジトリのセキュリティと分析設定を管理する」を参照してください
-
クローズされたアラートのみを表示するには、 [Closed] をクリックします。
![[クローズ] タブが濃いオレンジ色の枠線で強調表示された状態の Dependabot alerts リストを示すスクリーンショット。](/assets/cb-18890/images/help/repository/dependabot-alerts-closed-checkbox.png)
-
表示または更新するアラートをクリックします。
-
必要に応じて、却下されたアラートを再度開く場合は、 [Reopen] をクリックします。 既に修正されたアラートをもう一度開くことはできません。
![[クローズ] タブが濃いオレンジ色の枠線で強調表示された状態の Dependabot alerts リストを示すスクリーンショット。](/assets/cb-18890/mw-1440/images/help/repository/dependabot-alerts-closed-checkbox.webp)
一度に複数のアラートをもう一度開く
- クローズされた Dependabot alerts を表示します。
- 各アラート タイトルの左で、各アラートの隣にあるチェックボックスをクリックし、再開するアラートを選びます。
- 必要に応じて、アラートの一覧の上部で、ページ上のすべてのクローズされたアラートを選びます。
![[すべて選択] チェックボックスがタブが濃いオレンジ色の枠線で強調表示された状態の [クローズ] タブのアラートのスクリーンショット。](/assets/cb-20583/images/help/graphs/select-all-closed-alerts.png)
- [再度開く] をクリックして、アラートをもう一度開きます。 既に修正されたアラートをもう一度開くことはできません。
![[すべて選択] チェックボックスがタブが濃いオレンジ色の枠線で強調表示された状態の [クローズ] タブのアラートのスクリーンショット。](/assets/cb-20583/mw-1440/images/help/graphs/select-all-closed-alerts.webp)
Dependabot alerts の監査ログの確認
組織またはエンタープライズのメンバーが Dependabot alerts に関連するアクションを実行した場合は、監査ログでそのアクションを確認できます。 ログへのアクセスの詳細については、「AUTOTITLE」と「AUTOTITLE」を参照してください。
Dependabot alerts に関する監査ログのイベントには、だれがアクションを実行したか、何のアクションか、いつアクションを実行したか、などの詳細が含まれます。 イベントには、アラート自体へのリンクも含まれています。 組織のメンバーがアラートを無視すると、イベントに無視する理由とコメントが表示されます。 Dependabot alerts アクションの詳細については、「AUTOTITLE」 と「AUTOTITLE」の repository_vulnerability_alert カテゴリーを参照してください。