Dependabot 自動トリアージ ルール について
Dependabot 自動トリアージ ルール を使用すると、Dependabot が Dependabot alerts を自動的にトリアージするように指示できます。 自動トリアージ ルール を使用して、特定のアラートを自動的に無視またはスヌーズしたり、Dependabot でpull request を開くアラートを指定したりできます。
Dependabot 自動トリアージ ルール には、次の 2 種類があります。
- GitHub プリセット
- カスタム自動トリアージ ルール
GitHub プリセット について
Note
Dependabot alerts の はすべてのリポジトリで利用できるルールです。
GitHub プリセット は、GitHub によってキュレーションされたルールです。 Dismiss low impact issues for development-scoped dependencies は、GitHub プリセットルールです。 このルールでは、開発で使用される npm 依存関係で見つかった特定の種類の脆弱性は自動的に無視されます。 このルールは、誤検知を減らし、アラートの疲労を軽減するためにキュレーションされています。 GitHub プリセット を変更することはできません。 GitHub プリセット の詳細については、「GitHub プリセット ルールを使用して Dependabot アラートに優先順位を付ける」を参照してください。
このルールは、公開用 リポジトリに対してデフォルトで有効になっており、プライベート リポジトリに対してオプトインできます。 プライベート リポジトリのルールは、リポジトリの [設定] タブで有効にすることができます。 詳しくは、「プライベート リポジトリの Dismiss low impact issues for development-scoped dependencies ルールを有効にする」を参照してください。
カスタム自動トリアージ ルール
について
Note
Dependabot alerts の カスタム自動トリアージ ルール は、GitHub Advanced Security を有効にしている organization 所有リポジトリで使用できます。
カスタム自動トリアージ ルール を使用すると、独自のルールを作成して、対象のメタデータ、例えば可分性、パッケージ名、CWE などに基づいてアラートを自動的に無視するか、再度開くことができます。 Dependabotpull request を開くアラートを指定できます。 詳しくは、「自動トリアージ ルールをカスタマイズして Dependabot アラートの優先度を設定する」をご覧ください。
リポジトリの [Settings] タブからカスタム ルールを作成できます。ただし、リポジトリが GitHub Advanced Security のライセンスを持つ organization に属している場合に限ります。 詳しくは、「カスタム自動トリアージ ルールをリポジトリに追加する」を参照してください。
アラートの自動消去について
自動トリアージ ルールを使用してアラートを自動消去すると便利な場合がありますが、自動消去されたアラートを再度開いてフィルタリングして、どのアラートが自動消去されたかを確認することもできます。 詳しくは、「Dependabot 自動トリアージ ルールによって自動的に無視されたアラートの管理」をご覧ください。
さらに、アラートは、自動無視されてもレポートおよびレビューに使用できます。また、アラート メタデータが変更された場合、自動再オープンされます。たとえば、次のような場合があります。
- 依存関係のスコープを開発から運用に変更する場合。
- GitHub で、関連するアドバイザリの特定のメタデータを変更する場合。
自動無視されるアラートは、resolution:auto-dismiss クローズ理由によって定義されます。 自動無視アクティビティは、アラート Webhook、REST および GraphQL API、Audit log に含まれます。 詳しくは、「Dependabot alerts 用の REST API エンドポイント」と、「Organization の Audit log をレビューする」の「repository_vulnerability_alert」セクションを参照してください。