GitHub Dependabotセキュリティアップデートについて
セキュリティアラートと依存関係グラフを使用する任意のリポジトリで GitHub Dependabotセキュリティアップデート を有効にすることができます。 個々のリポジトリ、またはユーザアカウントまたは Organization が所有するすべてのリポジトリに対して GitHub Dependabotセキュリティアップデート を無効にすることができます。
リポジトリ内の脆弱性のある依存関係に関するセキュリティアラートを受け取ったら、GitHub Dependabot によって生成されたプルリクエストでセキュリティアップデートを使用して脆弱性を解決できます。 セキュリティアップデートは、依存関係グラフを使用するリポジトリで利用できます。 デフォルトでは、GitHub Dependabot は、脆弱性のある依存関係を、脆弱性を避けるために必要な、可能な限り最小のバージョンに更新するため、リポジトリ内に自動的にプルリクエストを作成します。 自動的なプルリクエストを無効にし、手動でプルリクエストを作成して任意で脆弱性を更新するようにすることもできます。
セキュリティアップデートには、リリースノート、変更ログエントリ、コミットの詳細などの脆弱性に関する情報を含め、提案された修正を迅速かつ安全に確認してプロジェクトにマージするために必要なすべてが含まれています。
セキュリティアップデートは GitHub Dependabot によってオープンされます。 GitHub Dependabot GitHub App は、セキュリティアップデートが有効になっているすべてのリポジトリに自動的にインストールされます。
リポジトリのセキュリティアラートにアクセスできる人には、関連するセキュリティアラートのリンクが表示されます。ただし、リポジトリのセキュリティアラートにアクセスできないがプルリクエストにはアクセスできる人は、プルリクエストがどの脆弱性を解決するかを見ることはできません。
セキュリティアップデートを含むプルリクエストをマージすると、対応するセキュリティアラートがリポジトリに対して解決済みとしてマークされます。
注釈: GitHub Dependabotセキュリティアップデート は、依存関係のセキュリティの脆弱性のみを解決します。 セキュリティアップデートは、プライベートリポジトリでホストされているプライベートレジストリまたはパッケージの脆弱性を解決するために作成されていません。
サポートされているリポジトリ
GitHub は、これらの要件を満たすすべてのリポジトリに対して GitHub Dependabotセキュリティアップデート を自動的に有効にします。
注釈: 2019年11月以前に作成されたリポジトリについては、リポジトリが次の基準を満たし、2019年5月23日以降に少なくとも1回のプッシュを受け取った場合、GitHub は自動的に GitHub Dependabotセキュリティアップデート を有効にします。
| 要件 | 詳細情報 |
|---|---|
| リポジトリがフォークではない | 「フォークについて」 |
| リポジトリがアーカイブされていない | 「リポジトリをアーカイブする」 |
| リポジトリがパブリックである、またはリポジトリがプライベートであり、リポジトリの設定で GitHub、依存関係グラフ、および脆弱性アラートによる読み取り専用分析が有効化されている | 「プライベートリポジトリのデータ使用をオプトインする」 |
| リポジトリに GitHub がサポートするパッケージエコシステムの依存関係マニフェストファイルが含まれている | 「サポートされているパッケージエコシステム」 |
| GitHub Dependabotセキュリティアップデート がリポジトリに対して無効になっていない | 「リポジトリの GitHub Dependabotセキュリティアップデート を管理する」 |
| リポジトリが依存関係管理の統合をまだ使用していない | "インテグレーションについて" |
リポジトリでセキュリティアップデートが有効になっておらず、原因がわからない場合は、サポートにお問い合わせください。
互換性スコアについて
GitHub Dependabotセキュリティアップデート には、互換性スコアも含まれています。これは、脆弱性を更新することでプロジェクトに重大な変更が発生する可能性があるかどうかを知らせるものです。 弊社では、アップデートによりテストが失敗するかどうかを確認するため、既存のセキュリティアップデートを生成したパブリックリポジトリから、以前にパスした CI テストを調べます。 更新の互換性スコアは、依存関係に関するバージョンの更新前後で、実行した CI がパスした割合です。
リポジトリの GitHub Dependabotセキュリティアップデート を管理する
個別のリポジトリに対して GitHub Dependabotセキュリティアップデート を有効または無効にできます。
GitHub Dependabotセキュリティアップデート には特定のリポジトリ設定が必要です。 詳しい情報については、「サポートされているリポジトリについて」を参照してください。
- GitHubで、リポジトリのメインページにアクセスしてください。
- リポジトリ名の下で Security(セキュリティ)をクリックしてください。
- セキュリティのサイドバーで、Dependabot alerts(Dependabotアラート)をクリックしてください。
- アラート一覧の上にあるドロップダウンメニューで [Dependabot security updates] を選択または選択解除します。
ユーザアカウントの GitHub Dependabotセキュリティアップデート を管理する
ユーザアカウントが所有するすべてのリポジトリの GitHub Dependabotセキュリティアップデート を無効にできます。 その場合でも、ユーザアカウントが所有する個々のリポジトリに対して GitHub Dependabotセキュリティアップデート を有効にすることができます。
- 任意のページの右上で、プロフィール画像をクリックし、続いてSettings(設定)をクリックしてください。
![ユーザバーの [Settings(設定)] アイコン](https://web.archive.org/web/20200707104645im_/https://docs.github.com/assets/images/help/settings/userbar-account-settings.png)
- ユーザ設定サイドバーでSecurity(セキュリティ)をクリックしてください。
- "Dependabot security updates(Dependabotのセキュリティアップデート)"の下で、Opt out of Dependabot security updates(Dependabotのセキュリティアップデートをオプトアウトする)を選択するか、選択解除するかしてください。
- [Save] をクリックします。
Organization の GitHub Dependabotセキュリティアップデート を管理する
Organization のオーナーは、Organization が所有するすべてのリポジトリに対して GitHub Dependabotセキュリティアップデート を無効にできます。 その場合、Organization が所有する個々のリポジトリに対する管理者権限を持つユーザは、そのリポジトリで GitHub Dependabotセキュリティアップデート を有効にできます。
- GitHubの右上で、プロフィール画像をクリックし、続いてYour profile(あなたのプロフィール)をクリックしてください。
- プロフィールページの左側で、"Organizations"の下であなたのOrganizationのアイコンをクリックしてください。
- Organization名の下で、Settings(設定)をクリックしてください。
- Organizationの設定サイドバーで、Security(セキュリティ)をクリックしてください。
- "Dependabot security updates(Dependabotのセキュリティアップデート)"の下で、Opt out of Dependabot security updates(Dependabotのセキュリティアップデートをオプトアウトする)を選択するか、選択解除するかしてください。
- [Save] をクリックします。