依存関係のセキュリティの管理

独自の 自動トリアージ ルール を作成して、どのアラートを無視またはスヌーズするか、および Dependabot で pull request を開くアラートを制御できます。

GitHub によってキュレーションされた既定ルールである GitHub プリセット を使用すると、npm 依存関係の影響度の低い開発アラートを自動的に無視できます。

プロジェクトのセキュリティの優先順位とワークフローに合わせて、セキュリティ更新プログラム用に Dependabot の pull request をカスタマイズする方法について説明します。

定義した方法で、指定したパッケージが Dependabot で自動的に更新されるように dependabot.yml ファイルを構成する方法について説明します。

依存関係レビュー アクション を使うと、プロジェクトに追加される前に脆弱性を検出できます。

          `pom.xml` ファイルにメタデータを含めると、Java パッケージを更新するためにユーザーが Dependabot の pull request で使用できる情報を強化できます。

Dependabot alerts に関する通知の受信方法を最適化する

プライベート レジストリに格納されている依存関係にアクセスするように Dependabot を構成できます。 パスワードやアクセス トークンなどの認証情報を暗号化されたシークレットとして格納し、これらを Dependabot 構成ファイルで参照できます。プライベート ネットワークにレジストリがある場合は、セルフホステッド ランナーで Dependabot を実行するときに、Dependabot アクセスを構成することもできます。

パブリック レジストリへの呼び出しを削除することで、プライベート レジストリにのみアクセスするように Dependabot を構成する方法の例です。

Dependabot によって生成されたPull Requestは、他のPull Requestとほぼ同じ方法で管理しますが、いくつかの追加オプションがあります。

Dependabot がプライベート レジストリと内部ネットワーク リソースにアクセスするために使用するセルフホステッド ランナーを構成できます。

Dependabot が更新を監視している依存関係を表示できます。

この記事では、プライベート レジストリの構成に関する詳細情報と、コマンド ラインから実行してパッケージ マネージャーをローカルで構成できるコマンドについて説明します。