Dependabot 自動優先順位設定ルール

フィルター処理、無視、スヌーズ、セキュリティ更新プログラムのトリガーなど、 Dependabot によるセキュリティ アラートの処理方法を制御します。

この機能を使用できるユーザーについて

GitHub プリセット は、すべてのリポジトリの種類で使用できます。

カスタム自動トリアージ ルール は、次のリポジトリの種類で使用できます。

  • GitHub.com 上のパブリックリポジトリ
  • GitHub Team が有効になっている GitHub Code Security 上の organization 所有リポジトリ

この記事で

Dependabot 自動トリアージ ルール の概要

Dependabot 自動トリアージ ルールを使用すると、DependabotDependabot alertsとDependabot malware alertsを自動的にトリアージするようにに指示できます。 自動トリアージ ルールを使用すると、次のことができます。

  • 特定のアラートを自動的に解消または一時停止する
  • Dependabot alerts が Dependabot に対してプル リクエストを開く対象を指定してください。

アラート通知が送信される前にルールが適用されるため、リスクの低いアラートを自動的に無視するルールを有効にすると、通知ノイズを減らすことができます。

Dependabot 自動トリアージ ルールには次の 2 種類があります。

  • GitHub プリセット
  • カスタム自動トリアージ ルール

GitHub プリセット の概要

GitHub プリセット は、すべてのリポジトリで使用できる GitHub によってキュレーションされたルールです。

開発スコープの依存関係に対する影響の少ない問題を無視する

Dismiss low impact issues for development-scoped dependencies ルール は、開発で使用される npm 依存関係で見つかった特定のタイプの脆弱性を自動的に無視する GitHub プリセットです。 これらのアラートは、関連する脆弱性として、ほとんどの開発者にとって誤ったアラームのように感じるケースを対象としています。

  • 開発者 (非運用またはランタイム) 環境で悪用される可能性が低い。
  • リソース管理、プログラミングとロジック、情報漏えいの問題に関連する場合がある。
  • 最悪の場合でも、ビルド速度の低下やテストの長時間化など、影響が限定的である。
  • 運用環境での問題を示すものではない。

このルールは、パブリック リポジトリに対して既定で有効になっており、プライベート リポジトリに対してオプトインすることができます。 手順については、「 プライベート リポジトリの Dismiss low impact issues for development-scoped dependencies ルールの有効化」を参照してください

ルールで使用される条件の詳細については、 GitHub のプリセットの Dependabot ルールで使用される CWEs を参照してください。

パッケージマルウェアアラートを無視する

Dismiss package malware alertsルールは、パッケージのすべてのバージョンに悪意のあるフラグを設定するアラートを自動的に無視するGitHubプリセットです。 プロジェクトが、悪意のあるパブリック パッケージと同じエコシステムと名前を持つ内部パッケージに依存している場合、Dependabotは誤検知アラートを生成し、ルールが自動的に無視する可能性があります。

重要

すべてのバージョンで本当に悪意のある依存関係を共同作成者が追加した場合、このルールによって関連するアラートが自動的に無視されることに注意してください。

Dismiss package malware alertsルールは既定で無効になっていますが、Dependabot malware alertsを使用して任意のリポジトリに対して有効にすることができます。

カスタム自動トリアージ ルール の概要

メモ

カスタム自動トリアージ ルール の Dependabot alerts は、パブリック リポジトリと、GitHub Team が有効になっている GitHub Code Security 内の organization 所有リポジトリで使用できます。

カスタム自動トリアージ ルールを使用すると、重大度、パッケージ名、CWE などのターゲット メタデータに基づいてアラートを自動的に無視または再度開く独自のルールを作成できます。 どのDependabot alertsに対してDependabotが pull request を作成するかを指定することもできます。 詳細については、「自動トリアージ ルールをカスタマイズして Dependabot アラートの優先度を設定する」を参照してください。

リポジトリが**** のライセンスを持つ組織に属している場合は、リポジトリの GitHub Code Security or GitHub Advanced Security タブからカスタム ルールを作成できます。 詳細については、「Adding custom auto-triage rules to your repository (カスタム自動トリアージ ルールをリポジトリに追加)」を参照してください。

アラートの自動的な無視について

自動トリアージ ルールを使用してアラートを自動的に無視するのが役に立つことがあります。一方、自動的に無視されたアラートを再度開くことや、フィルター処理して、どのアラートが自動的に無視されたか確認することもできます。 詳細については、「Dependabot 自動トリアージ ルールによって自動的に無視されたアラートの管理」を参照してください。

さらに、自動的に無視されたアラートは、レポートおよびレビューの目的で引き続き使用できます。また、アラート メタデータが変化した場合、自動的にもう一度開くこともできます。例:

  • 依存関係のスコープを開発から運用に変更する場合。
  • GitHub関連するアドバイザリの特定のメタデータを変更する場合。

自動無視されるアラートは、resolution:auto-dismiss クローズ理由によって定義されます。 自動無視アクティビティは、アラート Webhook、REST および GraphQL API、Audit log に含まれます。 詳細については、「Dependabot alerts 用の REST API エンドポイント」と、「repository_vulnerability_alert」内の「」セクションを参照してください。

次のステップ

Dependabot 自動トリアージ ルールの使用を開始するには、GitHub プリセット ルールを使用して Dependabot アラートに優先順位を付ける を参照してください。

自動トリアージ エクスペリエンスをカスタマイズするには、 自動トリアージ ルールをカスタマイズして Dependabot アラートの優先度を設定する を参照してください。