GitHub Dependabot アラートとセキュリティ更新プログラムを実装する

アラート

GitHub Dependabot は脆弱な依存関係を検出し、いくつかの状況で依存関係に関する Dependabot アラートを送信します。

• GitHub Advisory データベースに新しい脆弱性が追加されます。
• Mend からの新しい脆弱性データが処理されます。
• リポジトリの依存関係グラフが変更されました。

アラートは既定でパブリック リポジトリで検出されますが、他のリポジトリで有効にすることができます。

通知は、標準の GitHub 通知メカニズムを使用して送信できます。

Dependabot アラートの詳細については、「脆弱な依存関係のアラートについて」を参照してください。

アラートを生成できるパッケージの詳細については、サポートされているパッケージ エコシステムを参照してください。

通知の詳細については、「通知の構成」を参照してください。

セキュリティ更新プログラム

Dependabot セキュリティ更新プログラムの主な利点は、プル要求を自動的に作成できることです。

開発者は、推奨される更新プログラムを確認し、それを組み込むために必要なものをトリアージできます。

自動セキュリティ更新プログラムの詳細については、「GitHub Dependabot セキュリティ更新プログラムについて」を参照してください。