依存関係のレビューについて

依存関係のレビューについて

依存関係レビューを使うと、すべてのPull Reqeustにおける以下の変更による依存関係の変化とセキュリティについての影響を理解しやすくなります。 Pull Requestの"Files Changed（変更されたファイル）"タブ上のリッチdiffで、依存関係の変化を理解しやすく可視化します。 依存関係レビューは、以下のことを知らせます:

• リリース日と合わせて、追加、削除、更新された依存関係。
• これらのコンポーネントを使うプロジェクトの数。
• これらの依存関係に関する脆弱性のデータ。

プルリクエストがリポジトリのデフォルトブランチを対象とし、パッケージマニフェストまたはロックファイルへの変更が含まれている場合は、依存関係のレビューを表示して、何が変更されたかを確認できます。 依存関係のレビューには、ロックファイル内の間接的な依存関係への変更の詳細が含まれ、追加または更新された依存関係のいずれかに既知の脆弱性が含まれているかどうかが示されます。

依存関係のレビューは次の項目で確認できます。

• すべてのパブリックリポジトリ
• 依存関係グラフが有効になっている Advanced Security ライセンスを持つ Organization が所有するプライベートリポジトリ。 詳しい情報については、「リポジトリの依存関係を調べる」を参照してください。

時に、マニフェスト内の 1 つの依存関係のバージョンを更新して、プルリクエストを生成することがあります。 ただし、この直接依存関係の更新バージョンでも依存関係が更新されている場合は、プルリクエストに予想よりも多くの変更が加えられている可能性があります。 各マニフェストとロックファイルの依存関係のレビューにより、何が変更されたか、新しい依存関係バージョンのいずれかに既知の脆弱性が含まれているかどうかを簡単に確認できます。

プルリクエストで依存関係のレビューを確認し、脆弱性としてフラグが付けられている依存関係を変更することで、プロジェクトに脆弱性が追加されるのを防ぐことができます。 For more information about how dependency review works, see "Reviewing dependency changes in a pull request."

Dependabotアラート will find vulnerabilities that are already in your dependencies, but it's much better to avoid introducing potential problems than to fix problems at a later date. Dependabotアラート に関する詳しい情報については、「脆弱性のある依存関係に対するアラートについて」を参照してください。

依存関係のレビューは、依存関係グラフと同じ言語とパッケージ管理エコシステムをサポートしています。 詳しい情報については、「依存関係グラフについて」を参照してください。