ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。
記事のバージョン: GitHub.com

脆弱性のある依存関係に対するセキュリティアラートについて

GitHub は特定の依存関係について報告された脆弱性を追跡し、影響を受けるリポジトリにセキュリティアラートを出します。

このガイドの内容

脆弱性のある依存関係に対するアラートと自動的なセキュリティ修正

セキュリティの脆弱性について

脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。 重大度やプロジェクトの依存関係により異なりますが、脆弱性はプロジェクトあるいはプロジェクトを利用する人々に、幅広い問題を引き起こすことがあります。 GitHubリポジトリ中の依存関係の特定の種類の脆弱性は、追跡して解決できます。

脆弱性のある依存関係に対するアラートと自動的なセキュリティ修正

GitHub が、新たにアナウンスされた脆弱性を見つけるか、新たな脆弱性の通知を受信すると、依存関係の影響を受けるバージョンを利用しているパブリックな リポジトリ

(および脆弱性の検出を選択したプライベートリポジトリ) が特定され、リポジトリメンテナに対してセキュリティアラートが送信されて、セキュリティ修正が自動的に生成されます。

各セキュリティアラートには、重要度、プロジェクト内で影響を受けるファイルへのリンク、およびその脆弱性を解決する、自動的なセキュリティ修正を含んだプルリクエストが含まれます。 また、脆弱性についての詳細情報が提供されることもあります。

リポジトリの [Alerts] タブまたはリポジトリの依存関係グラフに、特定のプロジェクトに影響するすべてのアラートが表示されます。詳細は、「リポジトリ内の脆弱な依存関係を表示・更新する」を参照してください。

デフォルトでは、影響を受けるリポジトリで管理者権限を持つ人々にセキュリティアラートが送られます。 GitHub は、いかなるリポジトリについても特定された脆弱性を公開することはありません。セキュリティアラートは、Organization が所有しているリポジトリで作業している人々や Team に対して有効化することもできます。 詳細は「Organization のリポジトリ内の脆弱性のある依存関係に関するアラートを管理する」を参照してください。

自動的なセキュリティ修正は、脆弱性のある依存関係を、脆弱性を解決する最小のバージョンに更新します。 自動的なセキュリティ修正は、依存関係グラフとセキュリティアラートを使用しているリポジトリにおいて自動的に有効化されますが、自動的なプルリクエストを無効化して、代わりにセキュリティ修正をマニュアルで生成するよう選択することも可能です。 詳細は「自動的なセキュリティ修正を設定する」を参照してください。

GitHub は、デフォルトでパブリックなリポジトリ内の脆弱性を持つ依存関係を検出し、アラートを発します。 プライベートリポジトリ内の脆弱性を持つ依存関係に対してセキュリティアラートを受けるには、リポジトリのオーナーまたはリポジトリに管理権限を持つ人がリポジトリの依存グラフと脆弱性アラートを有効にしなければなりません。 詳しい情報については「プライベートリポジトリ用のデータ利用のオプトインもしくはオプトアウト」を参照してください。

GitHub が脆弱性と依存関係を検出できるサポート言語のリストについては、「リポジトリが依存するパッケージのリスト」を参照してください。

メモ: セキュリティアラートのような GitHub のセキュリティの機能は、すべての脆弱性を捕捉するものではありません。 弊社は常に脆弱性データベースを更新し、最新の情報でアラートを発するよう努力していますが、すべての問題を捕捉することや、既知の脆弱性について一定の時間内で確実にアラートを発することは不可能です。 これらの機能は、それぞれの依存関係の潜在的な脆弱性やその他の問題に関する人によるレビューを置き換えるものではなく、必要な場合にはセキュリティサービスによるコンサルティングや、総合的な脆弱性レビューを行うことをおすすめします。

セキュリティアラートのデータソース

GitHubは、サポートされている言語からのパッケージ内の脆弱性を追跡するために、以下のソースを利用します。

CVE リスト上のアイテムから作成されたセキュリティアラートには CVE レコードへのリンクが含まれ、その CVE レコードでは脆弱性に関する詳細、CVSS スコア、定性的な重要度レベルを見ることができます。 重要度のレベルは Common Vulnerability Scoring System (CVSS), Section 2.1.2 で定義されている 4 つのレベルのいずれかです。

セキュリティアラートの通知を設定する

デフォルトでは、あなたが所有する、最大で 10個 のリポジトリに関するセキュリティアラートをまとめた週次のメールが送信されます。 セキュリティアラートは、個別にメールで受信、日次のダイジェストメール、Web通知、または GitHub のユーザインターフェースで受信するように選択することもできます。 詳しい情報については「通知の配信方法を選択する」を参照してください。

参考リンク

担当者にお尋ねください

探しているものが見つからなかったでしょうか?

弊社にお問い合わせください