はじめに
こんにちは。ACS 事業部の田中です。
今週も GitHub Advanced Security(GHAS)に関する記事を投稿していきます。
前回の記事 では Secret Protection の Secret scanning を実施しました。
今回は Dependabot に注目します。
Dependabot とは
Dependabot(ディペンダボット)はライブラリやモジュール、パッケージなどの依存関係を管理・監視するツールです。
大きく分けて次の3つの機能で構成されています。
- Dependabot alerts:リポジトリ内の依存関係の脆弱性を検知して、ユーザーに通知します。
- Dependabot security updates:リポジトリ内の脆弱性がある依存関係を更新するために、自動的に pull request を生成します。
- Dependabot version updates:リポジトリ内の依存関係のバージョンを最新に保つために、自動的に pull request を生成します。
本記事では、Dependabot alerts の有効化と確認の手順を説明します。
※ リポジトリは 前回の記事 と同じものを利用しています。
依存関係グラフを有効化する
依存関係の脆弱性を検知するためには、依存関係を把握する必要があります。
まずは依存関係グラフ(Dependency graph)を有効化して、リポジトリ内の依存関係を把握しましょう。br>
リポジトリのメインページで [ Setting ] タブを開き、サイドバーの [ Security ] セクションで [ Advanced Security ] をクリックします。
[ Dependency graph ] の右側にある [ Enaled ] をクリックして、依存関係グラフを有効化します。
依存関係グラフを初めて有効化すると、すぐに解析が始まります。
(解析は基本的に数分で完了しますが、リポジトリに依存関係が多いほど時間がかかります。)
解析の結果は、リポジトリのメインページで [Insights ] タブを開き、サイドバーの [ Dependency graph ] をクリックすることで確認できます。
Dependabot alerts を有効化する
依存関係グラフが有効化が完了したら、次に Dependabot alerts を有効化してみましょう。
リポジトリのメインページで [ Setting ] タブを開き、サイドバーの [ Security ] セクションで [ Advanced Security ] をクリックします。
[Dependabot] セクションから [ Dependabot alerts ] の右側にある [ Enaled ] をクリックして、 Dependabot alerts を有効化します。
Dependabot alerts を確認する
Dependabot alerts の有効化が完了したら、結果(通知)を確認してみましょう。
リポジトリのメインページで [ Security ] タブを開き、サイドバーで [ Dependabot ] をクリックすることでアラートの一覧が表示されます。
アラートの一覧はパッケージやエコシステムの種類などでフィルターをかけ、重大度やアラートの新旧などでソートすることも可能です。
おわりに
本記事では Dependabot alerts の有効化手順についてまとめました。
各アラートの対応については、別途記事を公開する予定です。
本記事と併せて参考にしていただければ幸いです。
ACS 事業部のご紹介
私の所属する ACS 事業部では、開発者ポータル Backstage、Azure AI Service などを活用し、Platform Engineering + AI の推進・内製化を支援しています。
www.ap-com.co.jp www.ap-com.co.jp www.ap-com.co.jp
また、GitHub パートナーとしてお客様に GitHub ソリューションの導入支援を行っています。
GitHub Copilot などのトレーニングなども行っておりますので、ご興味を持っていただけましたらぜひお声がけいただけますと幸いです。
一緒に働いていただける仲間も募集中です!
ご興味持っていただけましたらぜひお声がけください。
