Dependabot アラートの表示と更新

プロジェクト GitHub 安全でない依存関係を検出した場合は、リポジトリの [Dependabot alerts](依存関係の警告) タブで詳細を表示できます。 その後、プロジェクトを更新してこのアラートを解決することができます。

この機能を使用できるユーザーについて

この記事で

リポジトリの [ Dependabot alerts ] タブには、開いている Dependabot alerts と閉じているすべての Dependabot security updatesが一覧表示されます。 パッケージ、エコシステム、マニフェストでアラートをフィルター処理できます。 アラートの一覧を並べ替えたり、特定のアラートをクリックしてその詳細を表示したりすることができます。 アラートを 1 つずつ、または複数のアラートを一度に選択して、閉じるか、再度開くこともできます。 詳しくは、「Dependabot アラートについて」をご覧ください。

リポジトリ内の脆弱性のある依存関係の更新について

各 Dependabot アラートには一意の数値識別子があり、[ Dependabot alerts ] タブには検出されたすべての脆弱性に対するアラートが一覧表示されます。 レガシ Dependabot alerts 依存関係ごとに脆弱性をグループ化し、依存関係ごとに 1 つのアラートを生成しました。 従来の Dependabot アラートに移動すると、そのパッケージに対してフィルター処理された Dependabot alerts タブにリダイレクトされます。

ユーザー インターフェイスで使用できるさまざまなフィルターと並べ替えオプションを使用して、 Dependabot alerts をフィルター処理および並べ替えることができます。 詳細については、以下の「Dependabot alertsの表示と優先順位付け」を参照してください。

また、 Dependabot アラートに応答して実行されたアクションを監査することもできます。 詳しくは、「セキュリティ アラートの監査」をご覧ください。

表示と優先順位付け Dependabot alerts

          Dependabot alertsを表示、並べ替え、フィルター処理して、最も重要なアラートに集中できます。

既定では、アラートは [最も重要] で並べ替えられます。これにより、潜在的な影響、アクション可能性、関連性などの要因に基づいて修正プログラムの優先順位を付けるのに役立ちます。 この優先順位付けは継続的に改善され、CVSS スコア、依存関係スコープ、脆弱な関数呼び出しが検出されるかどうかなどのシグナルが考慮されます。

リポジトリのDependabot alertsタブの開いた・閉じたすべてのDependabot alertsおよび対応するDependabot security updatesを表示できます。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [ Security and quality ] タブをクリックします。[ Security and quality] タブが表示されない場合は、 ドロップダウン メニューを選択し、[ Security and quality] をクリックします。

  3. サイドバーの [結果] セクションで、 Dependabot ドロップダウン メニューを選択し、[ 脆弱性] をクリックします。

  4. 必要に応じて、アラートの一覧を絞り込みます。

    • 一覧の上部にあるドロップダウン メニューを使用して、アラートを並べ替えたりフィルター処理したりします。

      [Dependabot alerts] タブのフィルター メニューと並べ替えメニューのスクリーンショット。

    • 検索バーに直接入力して、アラートの詳細と関連するセキュリティ アドバイザリ全体のフルテキスト検索など、アラートをフィルター処理します。

    • アラートのラベルをクリックすると、そのラベルでリストが自動的にフィルター処理されます。

    • 開発の依存関係に影響するアラートを特定するには、 scope:development フィルターでフィルター処理するか、"開発" というラベルの付いたアラートを探します。 これは、運用環境の依存関係に影響を与えるアラートの優先順位を最初に設定するのに役立ちます。

      アラートの一覧のアラートに割り当てられた "開発" ラベルを示すスクリーンショット。

  5. アラートをクリックすると、その詳細が表示されます。 開発スコープの依存関係のアラートには、アラートの詳細ページの [タグ] セクションに "開発" ラベルが含まれます。

    アラート詳細ページの [タグ] セクションを示すスクリーンショット。

  6. 右側のパネルで、担当者 ドロップダウン リストを使用して担当者を選択します。 アラートをユーザーまたはチームに割り当てて明確な所有権を確立するか、 Copilot に割り当てて修正プログラムを自動的に生成することができます。 これにより、アラートのトリアージを担当するユーザーが明確に通知され、反復的な分析を回避するのに役立ちます。 また、アラートが見逃されないようにします。

  7. 必要に応じて、関連するセキュリティ アドバイザリの改善を提案するには、アラートの詳細ページの右側で、GitHub Advisory Databaseの [このアドバイザリの機能強化の提案] をクリックします。 「GitHub Advisory Database でのセキュリティ アドバイザリの編集」を参照してください。

アラートの優先順位付けのヒント

  •         **最も重要な**並べ替え順序を使用して、潜在的な影響が最も高いアラートに集中します。
  • 開発の依存関係よりも運用環境の依存関係に影響するアラートに優先順位を付けます。
  •         **担当者**機能を使用して、各アラートに対処する担当者を明確にし、チームがより効果的に脆弱性を追跡して修復できるようにします。

  •         Dependabot 自動トリアージ ルールを使用して、アラートに自動的に優先順位を付けたり、管理したりします。 「[AUTOTITLE](/code-security/concepts/supply-chain-security/about-dependabot-auto-triage-rules)」を参照してください。

依存関係スコープでサポートされているエコシステムとマニフェスト ファイルの詳細については、 依存関係スコープでサポートされるエコシステムとマニフェスト を参照してください。

使用可能なフィルターの完全な一覧については、 AUTOTITLE を参照してください。

プログラムでアラートを取得するには、 Dependabot alerts 用の REST API エンドポイント を参照してください。

アラートの確認と修正

          Dependabotアラートの詳細を確認して、脆弱性とその修正方法を理解できます。

脆弱性のある依存関係を修正する

  1. アラートの詳細を表示します。 詳細については、Dependabot alertsの表示と優先順位付け (上記) を参照してください。

  2.        Dependabot security updates有効にしている場合は、依存関係を修正する pull request へのリンクが存在する可能性があります。 または、アラートの詳細ページの上部にある [ **セキュリティ更新プログラム Dependabot 作成** ] をクリックしてプル要求を作成することもできます。

    Dependabot アラートのスクリーンショット。[Dependabot セキュリティ更新プログラムの作成] ボタンが濃いオレンジ色の枠線で強調表示されています。

  3. 必要に応じて、 Dependabot security updatesを使用しない場合は、ページの情報を使用して、アップグレード先の依存関係のバージョンを決定し、プル要求を作成して依存関係をセキュリティで保護されたバージョンに更新できます。

  4. 依存関係を更新して脆弱性を解決する準備ができたら、プルリクエストをマージしてください。

           Dependabotによって発生する各プル要求には、Dependabotを制御するために使用できるコマンドに関する情報が含まれています。 詳しくは、「[AUTOTITLE](/code-security/dependabot/working-with-dependabot/managing-pull-requests-for-dependency-updates#managing-dependabot-pull-requests-with-comment-commands)」をご覧ください。

却下する Dependabot alerts

メモ

無視できるのは、オープン アラートのみです。

依存関係をアップグレードするための広範な作業をスケジュールする場合や、アラートを修正する必要がないと判断した場合は、アラートを無視できます。 既に評価済みのアラートを無視すると、新しいアラートが表示されたときに簡単にトリアージできます。

  1.        [
       Dependabot alertsの表示と優先順位付け](#viewing-and-prioritizing-dependabot-alerts)(上記)。

  2. [無視する] ドロップダウンを選択し、アラートを無視する理由をクリックします。 修正されていない無視されたアラートは、後で再度開くことができます。

  3. 必要に応じて、無視のコメントを追加します。 無視のコメントはアラート タイムラインに追加され、監査と報告の間に正当な理由として使用できます。 GraphQL API を使用して、コメントを取得または設定できます。 コメントは dismissComment フィールドに含まれています。 詳細については、GraphQL API ドキュメントの「AUTOTITLE」を参照してください。

    [無視する] ドロップダウンと無視のコメントを追加するオプションがオレンジ色の枠線で囲まれている状態の Dependabot アラート ページのスクリーンショット。

  4.        **[アラートを無視]** をクリックします。

複数のアラートを一度に却下する

  1. 開いている Dependabot alertsを表示します。

  2. 必要に応じて、ドロップダウン メニューを選び、適用するフィルターをクリックして、アラートの一覧をフィルター処理します。 検索バーにフィルターを入力することもできます。

  3. 各アラートのタイトルの左側で、無視するアラートを選びます。

           ![Dependabot alerts ビューのスクリーンショット。 2 つのアラートが選択されており、これらのチェック ボックスがオレンジ色の枠線で強調表示されています。](/assets/images/help/graphs/select-multiple-alerts.png)

  4. 必要に応じて、アラートの一覧の上部で、ページ上のすべてのアラートを選びます。

           ![Dependabot alerts ビューのヘッダー セクションのスクリーンショット。 [すべて選択] チェックボックスが濃いオレンジ色の枠線で強調表示されています。](/assets/images/help/graphs/select-all-alerts.png)

  5. [アラートを無視する] ドロップダウンを選び、アラートを無視する理由をクリックします。

           ![アラートのリストのスクリーンショット。 [アラートを無視する] ボタンの下に、[無視する理由を選択] というラベルが付いたドロップダウンが展開されます。](/assets/images/help/graphs/dismiss-multiple-alerts.png)

クローズされたアラートの表示と更新

開いているすべてのアラートを表示し、以前に却下したアラートをもう一度開くことができます。 既に修復済みのクローズされたアラートをもう一度開くことはできません。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [ Security and quality ] タブをクリックします。[ Security and quality] タブが表示されない場合は、 ドロップダウン メニューを選択し、[ Security and quality] をクリックします。

  3. サイドバーの [結果] セクションで、 Dependabot ドロップダウン メニューを選択し、[ 脆弱性] をクリックします。

  4. クローズされたアラートのみを表示するには、 [Closed] をクリックします。

    [クローズ] タブが濃いオレンジ色の枠線で強調表示された状態の Dependabot alerts リストを示すスクリーンショット。

  5. 表示または更新するアラートをクリックします。

  6. 必要に応じて、却下されたアラートを再度開く場合は、 [Reopen] をクリックします。 既に修正されたアラートをもう一度開くことはできません。

    クローズされた Dependabot アラートのスクリーンショット。 "もう一度開く" というタイトルのボタンが濃いオレンジ色の枠線で強調表示されています。

一度に複数のアラートをもう一度開く

  1. 閉じた Dependabot alertsを表示します。

  2. 各アラート タイトルの左で、各アラートの隣にあるチェックボックスをクリックし、再開するアラートを選びます。

  3. 必要に応じて、アラートの一覧の上部で、ページ上のすべてのクローズされたアラートを選びます。

           ![[すべて選択] チェックボックスがタブが濃いオレンジ色の枠線で強調表示された状態の [クローズ] タブのアラートのスクリーンショット。](/assets/images/help/graphs/select-all-closed-alerts.png)

  4.        **[再度開く]** をクリックして、アラートをもう一度開きます。 既に修正されたアラートをもう一度開くことはできません。

監査ログを確認するDependabot alerts

組織 のメンバーが Dependabot alertsに関連するアクションを実行すると、監査ログのアクションを確認できます。 ログへのアクセスの詳細については、 あなたの組織の監査ログを確認する を参照してください。

Dependabot アラートを示す監査ログのスクリーンショット。

          Dependabot alertsの監査ログのイベントには、アクションを実行したユーザー、アクションの内容、アクションが実行された日時などの詳細が含まれます。 イベントには、アラート自体へのリンクも含まれています。 組織のメンバーがアラートを無視すると、イベントに無視する理由とコメントが表示されます。 
          Dependabot alertsアクションの詳細については、`repository_vulnerability_alert`[](/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/audit-log-events-for-your-organization#repository_vulnerability_alert) および  カテゴリを参照してください。