ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

自動セキュリティアップデートを設定する

自動または手動のプルリクエストを使って、脆弱性のある依存対象を簡単に更新できます。

ここには以下の内容があります:

自動セキュリティアップデートについて

セキュリティアラートと依存関係グラフを使っているどのリポジトリに対しても、自動セキュリティアップデートを有効化できます。 個々のリポジトリ、またはユーザアカウントあるいは Organization が所有するすべてのリポジトリの自動セキュリティアップデートを無効にすることができます。

リポジトリで脆弱性のある依存関係についてのセキュリティアラートを受信した場合、そのセキュリティアラートに対応するプルリクエスト内の自動セキュリティアップデートを使って、脆弱性を解決できます。 自動セキュリティアップデートは、依存関係グラフを使っているリポジトリ内で利用できます。 デフォルトでは、GitHub は、脆弱性のある依存関係を、脆弱性を避けるために必要な、可能な限り最小のバージョンに更新するため、リポジトリ内に自動的にプルリクエストを作成します。 自動的なプルリクエストを無効にし、手動でプルリクエストを作成して任意で脆弱性を更新するようにすることもできます。

自動的なセキュリティリクエストには、リリースノート、変更ログのエントリ、コミットの詳細などの、脆弱性についての情報を含めて、提案された修正を素早く安全にレビューしマージするために必要なものがすべて含まれています。

自動セキュリティアップデートは、GitHub の代理である Dependabot によりオープンされます。 Dependabot GitHub App は、自動セキュリティアップデートが有効なすべてのリポジトリに、自動的にインストールされます。

リポジトリのセキュリティアラートにアクセスできる人には、関連するセキュリティアラートのリンクが表示されます。ただし、リポジトリのセキュリティアラートにアクセスできないがプルリクエストにはアクセスできる人は、プルリクエストがどの脆弱性を解決するかを見ることはできません。

自動セキュリティアップデートを含むプルリクエストをマージすると、リポジトリの対応するセキュリティアラートは解決済みとマークされます。

注釈: 自動セキュリティアップデートが解決するのは、セキュリティの脆弱性のみです。 自動セキュリティアップデートは、プライベートレジストリや、プライベートリポジトリにホストされたパッケージにある脆弱性を解決するようには作られていません。

サポートされているリポジトリ

GitHub は、これらの要件を満たすすべてのリポジトリの自動セキュリティアップデートを自動的に有効にします。

注釈: 2019年11月以前に作成されたリポジトリについては、リポジトリが次の基準を満たし、2019年5月23日以降に少なくとも1回のプッシュを受け取った場合、GitHub は自動セキュリティアップデートを自動的に有効にします。

要件 詳細
リポジトリがフォークではない フォークについて
リポジトリがアーカイブされていない リポジトリをアーカイブする
リポジトリがパブリックである、またはリポジトリがプライベートであり、リポジトリの設定で GitHub、依存関係グラフ、および脆弱性アラートによる読み取り専用分析が有効化されている プライベートリポジトリのデータ使用をオプトインする
リポジトリに GitHub がサポートするパッケージエコシステムの依存関係マニフェストファイルが含まれている サポートされているパッケージエコシステム
自動セキュリティアップデートがリポジトリに対して無効化されていない リポジトリの自動セキュリティアップデートを管理する
リポジトリが依存関係管理の統合をまだ使用していない "インテグレーションについて"

リポジトリで自動セキュリティアップデートが有効になっておらず、その原因が不明の場合は、サポートにお問い合わせください。

互換性スコアについて

自動セキュリティアップデートには、互換性スコアも含まれています。これは、脆弱性を更新することで、プロジェクトに破壊的な変更が起こる可能性があるかどうかを知らせるものです。 弊社では、アップデートによりテストが失敗するかどうかを確認するため、既存のセキュリティアップデートを生成したパブリックリポジトリから、以前にパスした CI テストを調べます。 更新の互換性スコアは、依存関係に関するバージョンの更新前後で、実行した CI がパスした割合です。

リポジトリの自動セキュリティアップデートを管理する

個々のリポジトリの自動セキュリティアップデートは、有効化または無効化できます。

自動セキュリティアップデートには、特定のリポジトリ設定が必要です。 詳しい情報については、「サポートされているリポジトリについて」を参照してください。

  1. GitHubで、リポジトリのメインページにアクセスしてください。
  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。
    セキュリティのタブ
  3. アラート一覧の上にあるドロップダウンメニューで [Automated security updates] を選択または選択解除します。
    自動セキュリティアップデートを有効にするオプションがあるドロップダウンメニュー

ユーザアカウントの自動セキュリティアップデートを管理する

ユーザアカウントが所有するすべてのリポジトリの自動セキュリティアップデートを無効にすることができます。 その場合でも、ユーザアカウントが所有する個々のリポジトリの自動セキュリティアップデートを有効にすることができます。

  1. 任意のページの右上で、プロフィール画像をクリックし、続いてSettings(設定)をクリックしてください。
    ユーザバーの [Settings(設定)] アイコン
  2. ユーザ設定サイドバーでSecurity(セキュリティ)をクリックしてください。
    セキュリティ設定サイドバー
  3. "Automated security updates(自動化されたセキュリティのアップデート)"の下で、 Opt out of automated security updates(自動化されたセキュリティアップデートのオプトアウト)を選択もしくは選択解除してください。
    自動化されたセキュリティのアップデートのオプトアウトのチェックボックス
  4. Saveをクリックします。

Organization の自動セキュリティアップデートを管理する

Organization のオーナーは、Organization が所有するすべてのリポジトリの自動セキュリティアップデートを無効にすることができます。 その場合、Organization が所有する個々のリポジトリに対する管理者権限を持つユーザは、そのリポジトリの自動セキュリティアップデートを有効にすることができます。

  1. GitHubの右上で、プロフィール画像をクリックし、続いてYour profile(あなたのプロフィール)をクリックしてください。
    プロフィール画像
  2. プロフィールページの左側で、"Organizations"の下であなたのOrganizationのアイコンをクリックしてください。
    organizationのアイコン
  3. Organization名の下で、Settings(設定)をクリックしてください。
    Organizationの設定ボタン
  4. Organizationの設定サイドバーで、Security(セキュリティ)をクリックしてください。
    セキュリティ設定
  5. "Automated security updates(自動化されたセキュリティのアップデート)"の下で、 Opt out of automated security updates(自動化されたセキュリティアップデートのオプトアウト)を選択もしくは選択解除してください。
    自動化されたセキュリティのアップデートのオプトアウトのチェックボックス
  6. Saveをクリックします。

参考リンク

担当者にお尋ねください

探しているものが見つからなかったでしょうか?

弊社にお問い合わせください