ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

自動的なセキュリティ修正を設定する

自動または手動のプルリクエストを使って、脆弱性のある依存対象を簡単に更新できます。

本記事の内容:

自動的なセキュリティ修正について

メモ: 自動的なセキュリティ修正は現在ベータ版であり、変更される可能性があります。 セキュリティアラートと依存関係グラフを使っているどのリポジトリに対しても、自動的なセキュリティ修正を有効化できます。 2019 年 5 月から向こう数か月の間に、自動的なセキュリティ修正を、セキュリティアラートと依存関係グラフを使っているどのリポジトリでも自動的に有効化します。

リポジトリで脆弱性のある依存関係についてのセキュリティアラートを受信した場合、そのセキュリティアラートに対応するプルリクエスト内の自動的なセキュリティ修正を使って、脆弱性を解決できます。 自動的なセキュリティ修正は、依存関係グラフを使っているリポジトリ内で利用できます。 デフォルトでは、GitHub は、脆弱性のある依存関係を、脆弱性を避けるために必要な、可能な限り最小のバージョンに更新するため、リポジトリ内に自動的にプルリクエストを作成します。 自動的なプルリクエストを無効にし、手動でプルリクエストを作成して任意で脆弱性を更新するようにすることもできます。

自動的なセキュリティリクエストには、リリースノート、変更ログのエントリ、コミットの詳細などの、脆弱性についての情報を含めて、提案された修正を素早く安全にレビューしマージするために必要なものがすべて含まれています。

自動的なセキュリティ修正は、GitHub の代理である Dependabot によりオープンされます。 Dependabot GitHub App は、自動的なセキュリティ修正が有効なすべてのリポジトリに、自動的にインストールされます。

リポジトリのセキュリティアラートにアクセスできる人には、関連するセキュリティアラートのリンクが表示されます。ただし、リポジトリのセキュリティアラートにアクセスできないがプルリクエストにはアクセスできる人は、プルリクエストがどの脆弱性を解決するかを見ることはできません。

自動的なセキュリティ修正を含むプルリクエストをマージすると、リポジトリの対応するセキュリティアラートは解決済みとマークされます。

メモ: 自動的なセキュリティ修正が解決するのは、セキュリティの脆弱性のみです。 自動的なセキュリティ修正は、プライベートレジストリや、プライベートリポジトリにホストされたパッケージにある脆弱性を解決するようには作られていません。

互換性スコアについて

自動的なセキュリティ修正には、互換性スコアも含まれています。これは、脆弱性を更新することで、プロジェクトに破壊的な変更が起こる可能性があるかどうかを知らせるものです。 弊社では、更新によりテストが失敗するかどうかを知るため、既存のセキュリティ修正を生成したパブリックリポジトリから、以前にパスした CI テストを調べます。 更新の互換性スコアは、依存関係に関するバージョンの更新前後で、実行した CI がパスした割合です。

リポジトリに対する自動的なセキュリティ修正を管理する

リポジトリに対する自動的なセキュリティ修正は、有効化または無効化できます。

自動的なセキュリティ修正を有効にする前に、リポジトリでセキュリティアラートと依存関係グラフを有効にする必要があります。 詳細は「リポジトリのデータ使用をオプトインまたはオプトアウトする」を参照してください。

  1. GitHub で、リポジトリのメインページへ移動します。

  2. リポジトリ名の下で [ Security] をクリックします。

    セキュリティタブ

  3. アラート一覧の上にあるドロップダウンメニューで [Automated security fixes] を選択または選択解除します。

    自動的なセキュリティ修正を有効にするオプションがあるドロップダウンメニュー

参考リンク

担当者にお尋ねください

探しているものが見つからなかったでしょうか?

弊社にお問い合わせください