Skip to main content

Dependabot アラート

Dependabot alerts は、セキュリティ リスクになる前に、脆弱な依存関係を見つけて修正するのに役立ちます。

この機能を使用できるユーザーについて

Dependabot alerts は、組織所有およびユーザー所有のリポジトリで使用できます。

ソフトウェアは多くの場合、さまざまなソースのパッケージに依存し、知らないうちにセキュリティの脆弱性を引き起こすことができる依存関係を作成します。 コードが既知のセキュリティの脆弱性を持つパッケージに依存している場合、攻撃者はシステムを悪用しようとする攻撃者のターゲットになり、コード、データ、顧客、または共同作成者にアクセスする可能性があります。 Dependabot alerts は、セキュリティで保護されたバージョンにアップグレードしてプロジェクトを保護できるように、脆弱な依存関係について通知します。

Dependabotがアラートを送信するタイミング

Dependabot はリポジトリの既定のブランチをスキャンし、次の場合にアラートを送信します。

に追加されました

サポートされているエコシステムについては、 依存関係グラフがサポートされるパッケージ エコシステム を参照してください。

アラートについて

GitHubが脆弱な依存関係を検出すると、リポジトリの [Dependabot] タブと依存関係グラフに Securityアラートが表示されます。 各アラートには次のものが含まれます。

  • 影響を受けるファイルへのリンク
  • 脆弱性とその重大度に関する詳細
  • 固定バージョンに関する情報 (使用可能な場合)

アラートの表示と管理については、 Dependabot アラートの表示と更新 を参照してください。

アラートを有効にできるユーザー

リポジトリ管理者と組織の所有者は、リポジトリや組織でDependabot alertsを有効にすることができます。 有効にすると、 GitHub は直ちに依存関係グラフを生成し、それが識別する脆弱な依存関係に対するアラートを作成します。

この機能を使用する前に、エンタープライズの所有者がDependabot alertsに対してお使いの GitHub Enterprise Server インスタンスを有効にする必要があります。 詳しくは、「エンタープライズ向けの Dependabot の有効化」をご覧ください。

Dependabot アラートの構成」を参照してください。

アラートの権限管理と割り当て

書き込みアクセス権以上のユーザーは、リポジトリのコラボレーター、チーム、または AI エージェントに Dependabot alerts を割り当てて、脆弱性の修復のための明確な所有権を確立できます。 割り当ては、各アラートの責任者を追跡し、脆弱性が見過ごされるのを防ぐのに役立ちます。

アラートは、次の種類のエージェントに割り当てることができます。

  • Copilot、 GitHubの組み込みの AI エージェント。
  • リポジトリ設定で有効になっている場合は、Codex や Claude などのサード パーティのエージェント

ユーザーまたはチームにアラートが割り当てられると、担当者は通知を受け取り、アラートの名前がアラートリストに表示されます。 アサインされた担当者ごとにアラートをフィルターして進行状況を追跡できます。

アラートがエージェントに割り当てられると、エージェントは自動的にセッションを作成し、提案された修正プログラムを含む下書きプル要求を開きます。 エージェントが修正プログラムを生成できない場合、エージェントは担当者のままであり、アラート タイムラインの [ セッションの表示 ] をクリックしてエージェントのログを確認できます。

メモ

割り当ての可視性は現在、リポジトリ レベルのアラート ビューにスコープが設定されています。 組織全体のセキュリティの概要には、アラートの割り当ては表示されません。

アラートの担当者が変更されると、 GitHub は assignees_changed webhook イベントを送信します。 このイベントを使用して、ワークフローをトリガーしたり、割り当てデータを外部システムと同期したりできます。 詳細については、「Webhook のイベントとペイロード」を参照してください。

自動化と統合

REST API を使用して、プログラムでアラートの割り当てを管理できます。 詳細については、「Dependabot alerts の REST API エンドポイント」を参照してください。

アラートの割り当てについては、 Dependabot アラートの表示と更新 を参照してください。

アラート通知のしくみ

既定では、 GitHub は次の両方のユーザーに新しいアラートに関する電子メール通知を送信します。

  • リポジトリに対する書き込み、保守、または管理者のアクセス許可を持っている
  • リポジトリを監視していて、セキュリティ アラートまたはリポジトリのすべてのアクティビティに対する通知を有効にしている

通知の設定に関係なく、 Dependabot が最初に有効になると、 GitHub はリポジトリ内で検出されたすべての脆弱な依存関係に関する通知を送信しません。 代わりに、通知設定で許可されている場合、 Dependabot が有効になった後に識別された新しい脆弱な依存関係に関する通知を受け取ります。

通知の受信が多すぎる場合は、 Dependabot 自動トリアージ ルール を利用してリスクの低いアラートを自動的に無視することをお勧めします。 規則はアラート通知が送信される前に適用されるため、作成時に自動的に無視されたアラートで通知が送信されることはありません。 「Dependabot 自動優先順位設定ルール」を参照してください。

または、毎週のメール ダイジェストをオプトインしたり、 Dependabot alerts を有効にしたまま通知を完全にオフにしたりすることもできます。

Limitations

Dependabot alerts にはいくつかの制限があります。

  • アラートでは、すべてのセキュリティの問題をキャッチすることはできません。 依存関係を常に確認し、マニフェストとロック ファイルを最新の状態に保ち、正確な検出を行います。
  • 新しい脆弱性が GitHub Advisory Database に表示され、アラートがトリガーされるまでに時間がかかる場合があります。
  • GitHub のみが、アラートをトリガーします。
  • Dependabot はアーカイブされたリポジトリをスキャンしません。
  • Dependabot では、マルウェアのアラートは生成しません。
  • GitHub Actions、アラートは、SHA バージョン管理ではなく、セマンティック バージョン管理を使用するアクションに対してのみ生成されます。

詳細については、次を参照してください。