ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

自動的なセキュリティ修正を設定する

自動または手動のプルリクエストを使って、脆弱性のある依存対象を簡単に更新できます。

ここには以下の内容があります:

自動的なセキュリティ修正について

メモ: 自動的なセキュリティ修正は現在ベータ版であり、変更される可能性があります。

You can enable automated security fixes for any repository that uses security alerts and the dependency graph. We'll automatically enable automated security fixes in every repository that uses security alerts and the dependency graph over the next few months, starting in May 2019. You can disable automated security fixes for an individual repository or for all repositories owned by your user account or organization.

リポジトリで脆弱性のある依存関係についてのセキュリティアラートを受信した場合、そのセキュリティアラートに対応するプルリクエスト内の自動的なセキュリティ修正を使って、脆弱性を解決できます。 自動的なセキュリティ修正は、依存関係グラフを使っているリポジトリ内で利用できます。 デフォルトでは、GitHub は、脆弱性のある依存関係を、脆弱性を避けるために必要な、可能な限り最小のバージョンに更新するため、リポジトリ内に自動的にプルリクエストを作成します。 自動的なプルリクエストを無効にし、手動でプルリクエストを作成して任意で脆弱性を更新するようにすることもできます。

自動的なセキュリティリクエストには、リリースノート、変更ログのエントリ、コミットの詳細などの、脆弱性についての情報を含めて、提案された修正を素早く安全にレビューしマージするために必要なものがすべて含まれています。

自動的なセキュリティ修正は、GitHub の代理である Dependabot によりオープンされます。 Dependabot GitHub App は、自動的なセキュリティ修正が有効なすべてのリポジトリに、自動的にインストールされます。

リポジトリのセキュリティアラートにアクセスできる人には、関連するセキュリティアラートのリンクが表示されます。ただし、リポジトリのセキュリティアラートにアクセスできないがプルリクエストにはアクセスできる人は、プルリクエストがどの脆弱性を解決するかを見ることはできません。

自動的なセキュリティ修正を含むプルリクエストをマージすると、リポジトリの対応するセキュリティアラートは解決済みとマークされます。

メモ: 自動的なセキュリティ修正が解決するのは、セキュリティの脆弱性のみです。 自動的なセキュリティ修正は、プライベートレジストリや、プライベートリポジトリにホストされたパッケージにある脆弱性を解決するようには作られていません。

互換性スコアについて

自動的なセキュリティ修正には、互換性スコアも含まれています。これは、脆弱性を更新することで、プロジェクトに破壊的な変更が起こる可能性があるかどうかを知らせるものです。 弊社では、更新によりテストが失敗するかどうかを知るため、既存のセキュリティ修正を生成したパブリックリポジトリから、以前にパスした CI テストを調べます。 更新の互換性スコアは、依存関係に関するバージョンの更新前後で、実行した CI がパスした割合です。

リポジトリに対する自動的なセキュリティ修正を管理する

You can enable or disable automated security fixes for an individual repository.

自動的なセキュリティ修正を有効にする前に、リポジトリでセキュリティアラートと依存関係グラフを有効にする必要があります。 詳細は「リポジトリのデータ使用をオプトインまたはオプトアウトする」を参照してください。

  1. GitHub で、リポジトリのメインページへ移動します。

  2. リポジトリ名の下で [ Security] をクリックします。

    セキュリティタブ

  3. アラート一覧の上にあるドロップダウンメニューで [Automated security fixes] を選択または選択解除します。

    自動的なセキュリティ修正を有効にするオプションがあるドロップダウンメニュー

Managing automated security fixes for your user account

You can disable automated security fixes for all repositories owned by your user account. If you do, you can still enable automated security fixes for individual repositories owned by your user account.

  1. 任意のページの右上で自分のプロフィール画像をクリックし、[Settings] をクリックします。

    ユーザバーの設定アイコン

  2. ユーザ設定のサイドバーで [Security] をクリックします。

    セキュリティ設定のサイドバー

  3. Under "Automated security fixes", select or deselect Opt out of automated security fixes.

    Checkbox to opt out of automated security fixes

  4. Saveをクリックします。

Managing automated security fixes for your organization

Organization owners can disable automated security fixes for all repositories owned by the organization. If you do, anyone with admin permissions to an individual repository owned by the organization can still enable automated security fixes on that repository.

GitHub の右上で、プロフィール画像をクリックし、続いて [Your profile(あなたのプロフィール)] をクリックします。 プロフィール画像

  1. プロフィールページの左側で、[Organizations] の下にある Organization のアイコンをクリックしてください。

    Organization のアイコン

  2. Organization 名の下で、 [Settings] をクリックします。

    Organization の設定ボタン

  3. Organization の設定のサイドバーで [Security] をクリックします。

    セキュリティの設定

  4. Under "Automated security fixes", select or deselect Opt out of automated security fixes.

    Checkbox to opt out of automated security fixes

  5. Saveをクリックします。

参考リンク

担当者にお尋ねください

探しているものが見つからなかったでしょうか?

弊社にお問い合わせください