Dependabot アラートについて

          Dependabot alerts は、セキュリティ リスクになる前に、脆弱な依存関係を見つけて修正するのに役立ちます。

この機能を使用できるユーザーについて

Dependabot alerts は、組織所有およびユーザー所有のリポジトリで使用できます。

この記事で

ソフトウェアは多くの場合、さまざまなソースのパッケージに依存し、知らないうちにセキュリティの脆弱性を引き起こすことができる依存関係を作成します。 コードが既知のセキュリティの脆弱性を持つパッケージに依存している場合、攻撃者はシステムを悪用しようとする攻撃者のターゲットになり、コード、データ、顧客、または共同作成者にアクセスする可能性があります。 Dependabot alerts は、セキュリティで保護されたバージョンにアップグレードしてプロジェクトを保護できるように、脆弱な依存関係について通知します。

          Dependabotがアラートを送信するタイミング

          Dependabot はリポジトリの既定のブランチをスキャンし、次の場合にアラートを送信します。
  • 新しい脆弱性が GitHub Advisory Database
  • 依存関係グラフが変更されます。たとえば、パッケージやバージョンを更新するコミットをプッシュする場合

サポートされているエコシステムについては、 依存関係グラフがサポートされるパッケージ エコシステム を参照してください。

アラートについて

          GitHubが脆弱な依存関係を検出すると、リポジトリの [Dependabot] タブと依存関係グラフに**** アラートが表示されます。 各アラートには次のものが含まれます。
  • 影響を受けるファイルへのリンク
  • 脆弱性とその重大度に関する詳細
  • 固定バージョンに関する情報 (使用可能な場合)

アラートの表示と管理については、 Dependabot アラートの表示と更新 を参照してください。

アラートを有効にできるユーザー

リポジトリ管理者と組織の所有者は、リポジトリや組織でDependabot alertsを有効にすることができます。 有効にすると、 GitHub は直ちに依存関係グラフを生成し、それが識別する脆弱な依存関係に対するアラートを作成します。 リポジトリ管理者は、追加のユーザーまたはチームにアクセス権を付与できます。

Dependabot アラートの構成」を参照してください。

アラートの権限管理と割り当て

書き込みアクセス権以上のユーザーは、リポジトリのコラボレーター、チーム、またはDependabot alertsにCopilotを割り当てて、脆弱性の修復の明確な所有権を確立できます。 割り当ては、各アラートの責任者を追跡し、脆弱性が見過ごされるのを防ぐのに役立ちます。

アラートが割り当てられると、担当者は通知を受け取り、アラートの名前がアラート一覧に表示されます。 アサインされた担当者ごとにアラートをフィルターして進行状況を追跡できます。 アラートを Copilot に割り当てると、修正プログラムが自動的に生成され、レビュー用のドラフト pull request が開きます。

アラートの割り当てについては、 Dependabot アラートの表示と更新 を参照してください。

アラート通知のしくみ

既定では、 GitHub は次の両方のユーザーに新しいアラートに関する電子メール通知を送信します。

  • リポジトリに対する書き込み、保守、または管理者のアクセス許可を持っている
  • リポジトリを監視していて、セキュリティ アラートまたはリポジトリのすべてのアクティビティに対する通知を有効にしている

既定の動作をオーバーライドするには、受信する通知の種類を選択するか、 https://github.com/settings/notificationsのユーザー通知の設定ページで通知を完全にオフに切り替えます。

通知の設定に関係なく、 Dependabot が最初に有効になると、 GitHub はリポジトリ内で検出されたすべての脆弱な依存関係に関する通知を送信しません。 代わりに、通知設定で許可されている場合、 Dependabot が有効になった後に識別された新しい脆弱な依存関係に関する通知を受け取ります。

通知の受信が多すぎる場合は、 Dependabot 自動トリアージ ルール を利用してリスクの低いアラートを自動的に無視することをお勧めします。 規則はアラート通知が送信される前に適用されるため、作成時に自動的に無視されたアラートで通知が送信されることはありません。 「Dependabot 自動トリアージ ルールについて」を参照してください。

または、毎週のメール ダイジェストをオプトインしたり、 Dependabot alerts を有効にしたまま通知を完全にオフにしたりすることもできます。

制限事項

          Dependabot alerts にはいくつかの制限があります。

  • アラートでは、すべてのセキュリティの問題をキャッチすることはできません。 依存関係を常に確認し、マニフェストとロック ファイルを最新の状態に保ち、正確な検出を行います。

  • 新しい脆弱性が GitHub Advisory Database に表示され、アラートがトリガーされるまでに時間がかかる場合があります。

  •         GitHubによってレビューされたアドバイザリのみがアラートをトリガーします。

  •         Dependabot はアーカイブされたリポジトリをスキャンしません。

  • GitHub Actions、アラートは、SHA バージョン管理ではなく、セマンティック バージョン管理を使用するアクションに対してのみ生成されます。

            GitHub リポジトリの脆弱性を公開することはありません。 


          GitHub Copilot チャット 統合

          GitHub Copilot Enterprise ライセンスを使用すると、Copilot チャットに関するDependabot alertsの質問を組織のリポジトリで行うことができます。 詳しくは、「[AUTOTITLE](/copilot/using-github-copilot/asking-github-copilot-questions-in-githubcom#asking-questions-about-alerts-from-github-advanced-security-features)」をご覧ください。

詳細については、次を参照してください。

  •         [AUTOTITLE](/code-security/concepts/supply-chain-security/dependabot-malware-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates)

  •         [AUTOTITLE](/code-security/getting-started/auditing-security-alerts)