ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。
記事のバージョン: GitHub.com

脆弱性のある依存関係に対するセキュリティアラートについて

GitHub は、リポジトリに影響を及ぼす脆弱性を検出すると、セキュリティアラートを送信します。

ここには以下の内容があります:

セキュリティの脆弱性について

脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。重大度やプロジェクトの依存関係により異なりますが、脆弱性はプロジェクトあるいはプロジェクトを利用する人々に、幅広い問題を引き起こすことがあります。 GitHubリポジトリ中の依存関係の特定の種類の脆弱性は、追跡して解決できます。

GitHub が、リポジトリの依存関係グラフの依存関係の1つで GitHub Advisory Database または WhiteSource からの脆弱性を検出した場合、セキュリティアラートが送信されます。 GitHub Advisory Databaseに関する詳しい情報については、「GitHub Advisory Databaseにおけるセキュリティ脆弱性をブラウズする」を参照してください。

脆弱性のある依存関係に対するアラートと自動的なセキュリティアップデート

GitHub Advisory Databaseに新しい脆弱性が追加されると、影響を受けるバージョンの依存関係を使用するパブリックリポジトリ(および脆弱性検出をオプトインしたプライベートリポジトリ)を特定し、セキュリティアラートをリポジトリメンテナに送信し、自動セキュリティアップデートを生成して。

各セキュリティアラートには、重要度、プロジェクト内で影響を受けるファイルへのリンク、およびその脆弱性を解決する、自動的なセキュリティアップデートを含んだプルリクエストが含まれます。 また、脆弱性についての詳細情報が提供されることもあります。

リポジトリの [Alerts] タブまたはリポジトリの依存関係グラフに、特定のプロジェクトに影響するすべてのアラートが表示されます。詳細は、「リポジトリ内の脆弱な依存関係を表示・更新する」を参照してください。

デフォルトでは、影響を受けるリポジトリで管理者権限を持つ人々にセキュリティアラートが送られます。 GitHub は、いかなるリポジトリについても特定された脆弱性を公開することはありません。セキュリティアラートは、Organization が所有しているリポジトリで作業している人々や Team に対して有効化することもできます。 詳細は「Organization のリポジトリ内の脆弱性のある依存関係に関するアラートを管理する」を参照してください。

自動的なセキュリティアップデートは、脆弱性のある依存関係を、脆弱性を解決する最小のバージョンに更新します。 自動的なセキュリティアップデートは、依存関係グラフとセキュリティアラートを使用しているリポジトリにおいて自動的に有効化されますが、自動的なプルリクエストを無効化して、代わりにセキュリティアップデートをマニュアルで生成するよう選択することも可能です。 詳細は「自動的なセキュリティアップデートを設定する」を参照してください。

GitHub は、デフォルトでパブリックなリポジトリ内の脆弱性を持つ依存関係を検出し、アラートを発します。 プライベートリポジトリ内の脆弱性を持つ依存関係に対してセキュリティアラートを受けるには、リポジトリのオーナーまたはリポジトリに管理権限を持つ人がリポジトリの依存グラフと脆弱性アラートを有効にしなければなりません。 詳しい情報についてはプライベートリポジトリ用のデータ利用のオプトインもしくはオプトアウトを参照してください。

GitHub が脆弱性と依存関係を検出できるサポート言語のリストについては、「リポジトリが依存するパッケージのリスト」を参照してください。

メモ: セキュリティアラートのような GitHub のセキュリティの機能は、すべての脆弱性を捕捉するものではありません。 弊社は常に脆弱性データベースを更新し、最新の情報でアラートを発するよう努力していますが、すべての問題を捕捉することや、既知の脆弱性について一定の時間内で確実にアラートを発することは不可能です。 これらの機能は、それぞれの依存関係の潜在的な脆弱性やその他の問題に関する人によるレビューを置き換えるものではなく、必要な場合にはセキュリティサービスによるコンサルティングや、総合的な脆弱性レビューを行うことをおすすめします。

セキュリティアラートの通知を設定する

デフォルトでは、特定の脆弱性ごとにグループ化されたセキュリティアラートがメールで送信されます。 セキュリティアラートは、最大10個のリポジトリのアラートをまとめた毎週のメール、Web通知、または GitHub ユーザインターフェースで受信するように選択することもできます。 For more information, see "Configuring notifications."

1つ以上のリポジトリに影響するセキュリティアラートに関するメール通知には、X-GitHub-Severityヘッダフィールドが含まれます。 X-GitHub-Severityヘッダフィールドの値を使って、セキュリティアラートのメール通知をフィルタリングできます。 For more information, see "Configuring notifications."

参考リンク

担当者にお尋ねください

探しているものが見つからなかったでしょうか?

弊社にお問い合わせください