ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

脆弱性のある依存関係に対するセキュリティアラートについて

GitHub sends security alerts when we detect vulnerabilities affecting your repository.

このガイドの内容

セキュリティの脆弱性について

A vulnerability is a problem in a project's code that could be exploited to damage the confidentiality, integrity, or availability of the project or other projects that use its code. Depending on the severity level and the way your project uses the dependency, vulnerabilities can cause a range of problems for your project or the people who use it. GitHubリポジトリ中の依存関係の特定の種類の脆弱性は、追跡して解決できます。

If GitHub detects a vulnerability from the GitHub Advisory Database or WhiteSource in one of the dependencies in your repository's dependency graph, we'll send you a security alert. For more information about the GitHub Advisory Database, see "Browsing security vulnerabilities in the GitHub Advisory Database."

Alerts and automated security updates for vulnerable dependencies

When a new vulnerability is added to the GitHub Advisory Database, we identify public repositories (and private repositories that have opted in to vulnerability detection) that use the affected version of the dependency, send a security alert to repository maintainers, and generate an automated security update.

Each security alert includes a severity level, a link to the affected file in your project, and a link to a pull request containing an automated security update that resolves the vulnerability. また、脆弱性についての詳細情報が提供されることもあります。

リポジトリの [Alerts] タブまたはリポジトリの依存関係グラフに、特定のプロジェクトに影響するすべてのアラートが表示されます。詳細は、「リポジトリ内の脆弱な依存関係を表示・更新する」を参照してください。

デフォルトでは、影響を受けるリポジトリで管理者権限を持つ人々にセキュリティアラートが送られます。 GitHub は、いかなるリポジトリについても特定された脆弱性を公開することはありません。セキュリティアラートは、Organization が所有しているリポジトリで作業している人々や Team に対して有効化することもできます。 詳細は「Organization のリポジトリ内の脆弱性のある依存関係に関するアラートを管理する」を参照してください。

Automated security updates update vulnerable dependencies to the minimum version that resolves the vulnerability. Automated security updates are automatically enabled in repositories that use the dependency graph and security alerts, but you can choose to disable automatic pull requests and generate security updates manually instead. For more information, see "Configuring automated security updates."

GitHub は、デフォルトでパブリックなリポジトリ内の脆弱性を持つ依存関係を検出し、アラートを発します。 プライベートリポジトリ内の脆弱性を持つ依存関係に対してセキュリティアラートを受けるには、リポジトリのオーナーまたはリポジトリに管理権限を持つ人がリポジトリの依存グラフと脆弱性アラートを有効にしなければなりません。 詳しい情報についてはプライベートリポジトリ用のデータ利用のオプトインもしくはオプトアウトを参照してください。

GitHub が脆弱性と依存関係を検出できるサポート言語のリストについては、「リポジトリが依存するパッケージのリスト」を参照してください。

メモ: セキュリティアラートのような GitHub のセキュリティの機能は、すべての脆弱性を捕捉するものではありません。 弊社は常に脆弱性データベースを更新し、最新の情報でアラートを発するよう努力していますが、すべての問題を捕捉することや、既知の脆弱性について一定の時間内で確実にアラートを発することは不可能です。 これらの機能は、それぞれの依存関係の潜在的な脆弱性やその他の問題に関する人によるレビューを置き換えるものではなく、必要な場合にはセキュリティサービスによるコンサルティングや、総合的な脆弱性レビューを行うことをおすすめします。

セキュリティアラートの通知を設定する

デフォルトでは、あなたが所有する、最大で 10個 のリポジトリに関するセキュリティアラートをまとめた週次のメールが送信されます。 セキュリティアラートは、個別にメールで受信、日次のダイジェストメール、Web通知、または GitHub のユーザインターフェースで受信するように選択することもできます。 詳しい情報については「通知の配信方法を選択する」を参照してください。

参考リンク

担当者にお尋ねください

探しているものが見つからなかったでしょうか?

弊社にお問い合わせください