ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。
記事のバージョン: Enterprise Server 2.17

脆弱性のある依存関係に対するセキュリティアラートについて

GitHub Enterprise sends security alerts when we detect vulnerabilities affecting your repository.

ここには以下の内容があります:

セキュリティの脆弱性について

脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。 Depending on the severity level and the way your project uses the dependency, vulnerabilities can cause a range of problems for your project or the people who use it. GitHub Enterpriseリポジトリ中の依存関係の特定の種類の脆弱性は、追跡して解決できます。

If GitHub detects a vulnerability from the GitHub Advisory Database or WhiteSource in one of the dependencies in your repository's dependency graph, we'll send you a security alert. For more information about the GitHub Advisory Database, see "Browsing security vulnerabilities in the GitHub Advisory Database."

脆弱性のある依存対象に関するセキュリティアラート

When a new vulnerability is added to the GitHub Advisory Database, we identify repositories that use the affected version of the dependency and send a security alert to repository maintainers.

Each security alert includes a severity level and a link to the affected file in your project. また、脆弱性についての詳細情報が提供されることもあります。

リポジトリの依存関係グラフに、特定のプロジェクトに影響するすべてのアラートが表示されます。

デフォルトでは、影響を受けるリポジトリで管理者権限を持つ人々にセキュリティアラートが送られます。 GitHub Enterprise は、いかなるリポジトリについても特定された脆弱性を公開することはありません。

Your site administrator must enable security alerts for vulnerable dependencies for GitHub Enterprise Server インスタンス before you can use this feature. 詳しい情報については「GitHub Enterprise Serverの脆弱性のある依存関係に関するセキュリティアラートの有効化」を参照してください。

GitHub Enterprise が脆弱性と依存関係を検出できるサポート言語のリストについては、「リポジトリが依存するパッケージのリスト」を参照してください。

メモ: セキュリティアラートのような GitHub Enterprise のセキュリティの機能は、すべての脆弱性を捕捉するものではありません。 弊社は常に脆弱性データベースを更新し、最新の情報でアラートを発するよう努力していますが、すべての問題を捕捉することや、既知の脆弱性について一定の時間内で確実にアラートを発することは不可能です。 これらの機能は、それぞれの依存関係の潜在的な脆弱性やその他の問題に関する人によるレビューを置き換えるものではなく、必要な場合にはセキュリティサービスによるコンサルティングや、総合的な脆弱性レビューを行うことをおすすめします。

セキュリティアラートの通知を設定する

デフォルトでは、あなたが所有する、最大で 10個 のリポジトリに関するセキュリティアラートをまとめた週次のメールが送信されます。 セキュリティアラートは、個別にメールで受信、日次のダイジェストメール、Web通知、または GitHub Enterprise のユーザインターフェースで受信するように選択することもできます。 詳しい情報については「通知の配信方法を選択する」を参照してください。

参考リンク

担当者にお尋ねください

探しているものが見つからなかったでしょうか?

弊社にお問い合わせください