Skip to main content

Dependabot アラートの表示と更新

プロジェクト GitHub 安全でない依存関係を検出した場合は、リポジトリの [ Dependabot ] タブでアラートの詳細を表示できます。 その後、プロジェクトを更新してこのアラートを解決することができます。

この機能を使用できるユーザーについて

メモ

この機能を使用するには、事前にサイト管理者がDependabot updates用にお使いの GitHub Enterprise Server インスタンスを設定しておく必要があります。 詳細については、 AUTOTITLE を参照してください。

エンタープライズ所有者がエンタープライズ レベルでポリシーを設定している場合、 Dependabot updates を有効または無効にできない場合があります。 詳しくは、「エンタープライズのコード セキュリティと分析のためのポリシーの適用」をご覧ください。

リポジトリの [ Dependabot ] タブには、開いている Dependabot alerts と閉じているすべての Dependabot security updatesが一覧表示されます。 パッケージ、エコシステム、マニフェストでアラートをフィルター処理できます。 アラートの一覧を並べ替えたり、特定のアラートをクリックしてその詳細を表示したりすることができます。 アラートを 1 つずつ、または複数のアラートを一度に選択して、閉じるか、再度開くこともできます。 詳細については、「Dependabot アラート」を参照してください。

リポジトリ内の脆弱性のある依存関係の更新について

各 Dependabot アラートには一意の数値識別子があり、[ Dependabot ] タブには検出されたすべての脆弱性に対するアラートが一覧表示されます。 レガシ Dependabot alerts 依存関係ごとに脆弱性をグループ化し、依存関係ごとに 1 つのアラートを生成しました。 従来の Dependabot アラートに移動すると、そのパッケージに対してフィルター処理された Dependabot タブにリダイレクトされます。

ユーザー インターフェイスで使用できるさまざまなフィルターと並べ替えオプションを使用して、 Dependabot alerts をフィルター処理および並べ替えることができます。 詳細については、以下の「Dependabot alertsの表示と優先順位付け」を参照してください。

また、 Dependabot アラートに応答して実行されたアクションを監査することもできます。 詳細については、「セキュリティ アラートの監査」を参照してください。

表示と優先順位付け Dependabot alerts

Dependabot alertsを表示、並べ替え、フィルター処理して、最も重要なアラートに集中できます。

既定では、アラートは [最も重要] で並べ替えられます。これにより、潜在的な影響、アクション可能性、関連性などの要因に基づいて修正プログラムの優先順位を付けるのに役立ちます。 この優先順位付けは継続的に改善され、CVSS スコア、依存関係スコープ、脆弱な関数呼び出しが検出されるかどうかなどのシグナルが考慮されます。

リポジトリの [Dependabot alerts] タブで、開いているDependabot security updatesと閉じているすべてのDependabotを表示できます。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [ Security ] タブをクリックします。[ Security] タブが表示されない場合は、 ドロップダウン メニューを選択し、[ Security] をクリックします。

  3. セキュリティの概要の [脆弱性アラート] サイドバーで、 Dependabot をクリックします。 このオプションがない場合は、セキュリティ アラートにアクセスできないため、アクセス権を付与する必要があることを意味します。 詳細については、「リポジトリのセキュリティと分析設定を管理する」を参照してください。

[Dependabot] タブが濃いオレンジ色のアウトラインで強調表示されている、セキュリティの概要のスクリーンショット。

  1. 必要に応じて、アラートの一覧を絞り込みます。

    • 一覧の上部にあるドロップダウン メニューを使用して、アラートを並べ替えたりフィルター処理したりします。

      Dependabot タブのフィルターメニューと並べ替えメニューのスクリーンショット。

    • 検索バーに直接入力して、アラートの詳細と関連するセキュリティ アドバイザリ全体のフルテキスト検索など、アラートをフィルター処理します。

    • アラートのラベルをクリックすると、そのラベルでリストが自動的にフィルター処理されます。

    • 開発の依存関係に影響するアラートを特定するには、 scope:development フィルターでフィルター処理するか、"開発" というラベルの付いたアラートを探します。 これは、運用環境の依存関係に影響を与えるアラートの優先順位を最初に設定するのに役立ちます。

      アラートの一覧のアラートに割り当てられた "開発" ラベルを示すスクリーンショット。

  2. アラートをクリックすると、その詳細が表示されます。 開発スコープの依存関係のアラートには、アラートの詳細ページの [タグ] セクションに "開発" ラベルが含まれます。

    アラート詳細ページの [タグ] セクションを示すスクリーンショット。

  3. 必要に応じて、関連するセキュリティ アドバイザリの改善を提案するには、アラートの詳細ページの右側で、GitHub Advisory Databaseの [このアドバイザリの機能強化の提案] をクリックします。 「GitHub Advisory Database でのセキュリティ アドバイザリの編集」を参照してください。

アラートの優先順位付けのヒント

  • 最も重要な並べ替え順序を使用して、潜在的な影響が最も高いアラートに集中します。
  • 開発の依存関係よりも運用環境の依存関係に影響するアラートに優先順位を付けます。
  • Dependabot 自動トリアージ ルールを使用して、アラートに自動的に優先順位を付けたり、管理したりします。 「Dependabot 自動優先順位設定ルール」を参照してください。

依存関係スコープでサポートされているエコシステムとマニフェスト ファイルの詳細については、 依存関係スコープでサポートされるエコシステムとマニフェスト を参照してください。

使用可能なフィルターの完全な一覧については、 AUTOTITLE を参照してください。

プログラムでアラートを取得するには、 Dependabot alerts の REST API エンドポイント を参照してください。

アラートの確認と修正

Dependabotアラートの詳細を確認して、脆弱性とその修正方法を理解できます。

脆弱性のある依存関係を修正する

  1. アラートの詳細を表示します。 詳細については、Dependabot alertsの表示と優先順位付け (上記) を参照してください。

  2. Dependabot security updates有効にしている場合は、依存関係を修正する pull request へのリンクが存在する可能性があります。 または、アラートの詳細ページの上部にある [ セキュリティ更新プログラム Dependabot 作成 ] をクリックしてプル要求を作成することもできます。

    Dependabot アラートのスクリーンショット。[Dependabot セキュリティ更新プログラムの作成] ボタンが濃いオレンジ色の枠線で強調表示されています。

  3. 必要に応じて、 Dependabot security updatesを使用しない場合は、ページの情報を使用して、アップグレード先の依存関係のバージョンを決定し、プル要求を作成して依存関係をセキュリティで保護されたバージョンに更新できます。

  4. 依存関係を更新して脆弱性を解決する準備ができたら、プルリクエストをマージしてください。

Dependabotによって発生する各プル要求には、Dependabotを制御するために使用できるコマンドに関する情報が含まれています。 詳細については、「依存関係の更新に関するPull Requestを管理する」を参照してください。

Dependabot alerts を無視します

メモ

無視できるのは、オープン アラートのみです。

依存関係をアップグレードするための広範な作業をスケジュールする場合や、アラートを修正する必要がないと判断した場合は、アラートを無視できます。 既に評価済みのアラートを無視すると、新しいアラートが表示されたときに簡単にトリアージできます。

  1. Dependabot alertsの表示と優先順位付け(上記)。

  2. [無視する] ドロップダウンを選択し、アラートを無視する理由をクリックします。 修正されていない無視されたアラートは、後で再度開くことができます。

  3. 必要に応じて、無視のコメントを追加します。 無視のコメントはアラート タイムラインに追加され、監査と報告の間に正当な理由として使用できます。 GraphQL API を使用して、コメントを取得または設定できます。 コメントは dismissComment フィールドに含まれています。 詳細については、GraphQL API ドキュメントの「Dependabot」を参照してください。

    [無視する] ドロップダウンと無視のコメントを追加するオプションがオレンジ色の枠線で囲まれている状態の Dependabot アラート ページのスクリーンショット。

  4. [アラートを無視] をクリックします。

複数のアラートを一度に却下する

  1. 開いている Dependabot alertsを表示します。
  2. 必要に応じて、ドロップダウン メニューを選び、適用するフィルターをクリックして、アラートの一覧をフィルター処理します。 検索バーにフィルターを入力することもできます。
  3. 各アラートのタイトルの左側で、無視するアラートを選びます。

Dependabot alerts ビューのスクリーンショット。 2 つのアラートが選択されており、これらのチェック ボックスがオレンジ色の枠線で強調表示されています。

  1. 必要に応じて、アラートの一覧の上部で、ページ上のすべてのアラートを選びます。

Dependabot alerts ビューのヘッダー セクションのスクリーンショット。 [すべて選択] チェックボックスが濃いオレンジ色の枠線で強調表示されています。

  1. [アラートを無視する] ドロップダウンを選び、アラートを無視する理由をクリックします。

アラートのリストのスクリーンショット。 [アラートを無視する] ボタンの下に、[無視する理由を選択] というラベルが付いたドロップダウンが展開されます。

クローズされたアラートの表示と更新

開いているすべてのアラートを表示し、以前に却下したアラートをもう一度開くことができます。 既に修復済みのクローズされたアラートをもう一度開くことはできません。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [ Security ] タブをクリックします。[ Security] タブが表示されない場合は、 ドロップダウン メニューを選択し、[ Security] をクリックします。

  3. セキュリティの概要の [脆弱性アラート] サイドバーで、 Dependabot をクリックします。 このオプションがない場合は、セキュリティ アラートにアクセスできないため、アクセス権を付与する必要があることを意味します。 詳細については、「リポジトリのセキュリティと分析設定を管理する」を参照してください。

[Dependabot] タブが濃いオレンジ色のアウトラインで強調表示されている、セキュリティの概要のスクリーンショット。

  1. クローズされたアラートのみを表示するには、 [Closed] をクリックします。

    [クローズ] タブが濃いオレンジ色の枠線で強調表示された状態の Dependabot alerts リストを示すスクリーンショット。

  2. 表示または更新するアラートをクリックします。

  3. 必要に応じて、却下されたアラートを再度開く場合は、 [Reopen] をクリックします。 既に修正されたアラートをもう一度開くことはできません。

    クローズされた Dependabot アラートのスクリーンショット。 "もう一度開く" というタイトルのボタンが濃いオレンジ色の枠線で強調表示されています。

一度に複数のアラートをもう一度開く

  1. 閉じた Dependabot alerts を表示します。
  2. 各アラート タイトルの左で、各アラートの隣にあるチェックボックスをクリックし、再開するアラートを選びます。
  3. 必要に応じて、アラートの一覧の上部で、ページ上のすべてのクローズされたアラートを選びます。

[すべて選択] チェックボックスがタブが濃いオレンジ色の枠線で強調表示された状態の [クローズ] タブのアラートのスクリーンショット。

  1. [再度開く] をクリックして、アラートをもう一度開きます。 既に修正されたアラートをもう一度開くことはできません。

監査ログを確認するDependabot alerts

組織 またはエンタープライズ のメンバーが Dependabot alertsに関連するアクションを実行すると、監査ログのアクションを確認できます。 ログへのアクセスの詳細については、 あなたの組織の監査ログを確認する および 企業の監査ログにアクセスする.

Dependabot アラートを示す監査ログのスクリーンショット。

Dependabot alertsの監査ログのイベントには、アクションを実行したユーザー、アクションの内容、アクションが実行された日時などの詳細が含まれます。 イベントには、アラート自体へのリンクも含まれています。 組織のメンバーがアラートを無視すると、イベントに無視する理由とコメントが表示されます。 Dependabot alertsアクションの詳細については、repository_vulnerability_alert および .