{"meta":{"title":"Dependabot セキュリティの更新の構成","intro":"Dependabot security updatesまたは手動のプル要求を使用して、脆弱な依存関係を簡単に更新できます。","product":"セキュリティとコードの品質","breadcrumbs":[{"href":"/ja/code-security","title":"セキュリティとコードの品質"},{"href":"/ja/code-security/how-tos","title":"やり方"},{"href":"/ja/code-security/how-tos/secure-your-supply-chain","title":"サプライ チェーンをセキュリティで保護する"},{"href":"/ja/code-security/how-tos/secure-your-supply-chain/secure-your-dependencies","title":"依存関係をセキュリティ保護する"},{"href":"/ja/code-security/how-tos/secure-your-supply-chain/secure-your-dependencies/configuring-dependabot-security-updates","title":"セキュリティ更新プログラムの構成"}],"documentType":"article"},"body":"# Dependabot セキュリティの更新の構成\n\nDependabot security updatesまたは手動のプル要求を使用して、脆弱な依存関係を簡単に更新できます。\n\n<!--Marketing-LINK: From home page \"Learn more about Dependabot\".-->\n\n## リポジトリの Dependabot security updates の管理\n\n個人アカウントまたは組織が所有するすべての適格なリポジトリに対して、 Dependabot security updates を有効または無効にすることができます。 詳細については、「[セキュリティと分析機能の管理](/ja/account-and-profile/setting-up-and-managing-your-personal-account-on-github/managing-personal-account-settings/managing-security-and-analysis-settings-for-your-personal-account)」または「[組織のセキュリティおよび分析設定を管理する](/ja/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/managing-security-and-analysis-settings-for-your-organization)」を参照してください。\n\n個々のリポジトリの Dependabot security updates を有効または無効にすることもできます。\n\n### 個々のリポジトリの Dependabot security updates の有効化または無効化\n\n1. GitHub で、リポジトリのメイン ページに移動します。\n2. リポジトリ名の下にある **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-gear\" aria-label=\"gear\" role=\"img\"><path d=\"M8 0a8.2 8.2 0 0 1 .701.031C9.444.095 9.99.645 10.16 1.29l.288 1.107c.018.066.079.158.212.224.231.114.454.243.668.386.123.082.233.09.299.071l1.103-.303c.644-.176 1.392.021 1.82.63.27.385.506.792.704 1.218.315.675.111 1.422-.364 1.891l-.814.806c-.049.048-.098.147-.088.294.016.257.016.515 0 .772-.01.147.038.246.088.294l.814.806c.475.469.679 1.216.364 1.891a7.977 7.977 0 0 1-.704 1.217c-.428.61-1.176.807-1.82.63l-1.102-.302c-.067-.019-.177-.011-.3.071a5.909 5.909 0 0 1-.668.386c-.133.066-.194.158-.211.224l-.29 1.106c-.168.646-.715 1.196-1.458 1.26a8.006 8.006 0 0 1-1.402 0c-.743-.064-1.289-.614-1.458-1.26l-.289-1.106c-.018-.066-.079-.158-.212-.224a5.738 5.738 0 0 1-.668-.386c-.123-.082-.233-.09-.299-.071l-1.103.303c-.644.176-1.392-.021-1.82-.63a8.12 8.12 0 0 1-.704-1.218c-.315-.675-.111-1.422.363-1.891l.815-.806c.05-.048.098-.147.088-.294a6.214 6.214 0 0 1 0-.772c.01-.147-.038-.246-.088-.294l-.815-.806C.635 6.045.431 5.298.746 4.623a7.92 7.92 0 0 1 .704-1.217c.428-.61 1.176-.807 1.82-.63l1.102.302c.067.019.177.011.3-.071.214-.143.437-.272.668-.386.133-.066.194-.158.211-.224l.29-1.106C6.009.645 6.556.095 7.299.03 7.53.01 7.764 0 8 0Zm-.571 1.525c-.036.003-.108.036-.137.146l-.289 1.105c-.147.561-.549.967-.998 1.189-.173.086-.34.183-.5.29-.417.278-.97.423-1.529.27l-1.103-.303c-.109-.03-.175.016-.195.045-.22.312-.412.644-.573.99-.014.031-.021.11.059.19l.815.806c.411.406.562.957.53 1.456a4.709 4.709 0 0 0 0 .582c.032.499-.119 1.05-.53 1.456l-.815.806c-.081.08-.073.159-.059.19.162.346.353.677.573.989.02.03.085.076.195.046l1.102-.303c.56-.153 1.113-.008 1.53.27.161.107.328.204.501.29.447.222.85.629.997 1.189l.289 1.105c.029.109.101.143.137.146a6.6 6.6 0 0 0 1.142 0c.036-.003.108-.036.137-.146l.289-1.105c.147-.561.549-.967.998-1.189.173-.086.34-.183.5-.29.417-.278.97-.423 1.529-.27l1.103.303c.109.029.175-.016.195-.045.22-.313.411-.644.573-.99.014-.031.021-.11-.059-.19l-.815-.806c-.411-.406-.562-.957-.53-1.456a4.709 4.709 0 0 0 0-.582c-.032-.499.119-1.05.53-1.456l.815-.806c.081-.08.073-.159.059-.19a6.464 6.464 0 0 0-.573-.989c-.02-.03-.085-.076-.195-.046l-1.102.303c-.56.153-1.113.008-1.53-.27a4.44 4.44 0 0 0-.501-.29c-.447-.222-.85-.629-.997-1.189l-.289-1.105c-.029-.11-.101-.143-.137-.146a6.6 6.6 0 0 0-1.142 0ZM11 8a3 3 0 1 1-6 0 3 3 0 0 1 6 0ZM9.5 8a1.5 1.5 0 1 0-3.001.001A1.5 1.5 0 0 0 9.5 8Z\"></path></svg> \\[Settings]** をクリックします。 \\[設定] タブが表示されない場合は、 **\\[<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-kebab-horizontal\" aria-label=\"More\" role=\"img\"><path d=\"M8 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3ZM1.5 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Zm13 0a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Z\"></path></svg>]** ドロップダウン メニューを選び、 **\\[設定]** をクリックします。\n\n   ![タブを示すリポジトリ ヘッダーのスクリーンショット。 \\[設定\\] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/images/help/repository/repo-actions-settings.png)\n3. サイドバーの \\[Security] セクションで、**\\[<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-codescan\" aria-label=\"codescan\" role=\"img\"><path d=\"M8.47 4.97a.75.75 0 0 0 0 1.06L9.94 7.5 8.47 8.97a.75.75 0 1 0 1.06 1.06l2-2a.75.75 0 0 0 0-1.06l-2-2a.75.75 0 0 0-1.06 0ZM6.53 6.03a.75.75 0 0 0-1.06-1.06l-2 2a.75.75 0 0 0 0 1.06l2 2a.75.75 0 1 0 1.06-1.06L5.06 7.5l1.47-1.47Z\"></path><path d=\"M12.246 13.307a7.501 7.501 0 1 1 1.06-1.06l2.474 2.473a.749.749 0 0 1-.326 1.275.749.749 0 0 1-.734-.215ZM1.5 7.5a6.002 6.002 0 0 0 3.608 5.504 6.002 6.002 0 0 0 6.486-1.117.748.748 0 0 1 .292-.293A6 6 0 1 0 1.5 7.5Z\"></path></svg> Advanced Security]** をクリックします。\n4. \\[セキュリティ更新プログラムのDependabot ] の右側にある \\[ **有効]** をクリックして機能を有効にするか **、\\[無効]** をクリックして無効にします。\n   パブリック リポジトリの場合、この機能が常に有効になっている場合、ボタンは無効になります。\n\n##\n\n```\n          Dependabot security updatesを 1 つのプル要求にグループ化する\n```\n\nグループ化されたセキュリティ更新プログラムを使用するには、まず次の機能を有効にする必要があります。\n\n* **依存関係グラフ**。 詳しくは、「[依存関係グラフの有効化](/ja/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-the-dependency-graph)」をご覧ください。\n\n***\n\n```\n          Dependabot alerts\n          **. 詳しくは、「[AUTOTITLE](/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts)」をご覧ください。\n```\n\n***\n\n```\n          Dependabot security updates\n          **. 詳しくは、「[AUTOTITLE](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates)」をご覧ください。\n```\n\n> \\[!NOTE]\n> グループ化されたセキュリティ更新プログラムが最初に有効になると、 Dependabot はすぐにグループ化されたプル要求の作成を試みます。 古い pull request を閉じて新しい pull request を開く Dependabot に気付く場合があります。\n\nDependabot security updates のグループ化された pull request は、以下の方法のいずれかまたは両方で有効にすることができます。\n\n* 使用できるセキュリティ更新プログラムをディレクトリ間やエコシステムごとにできるだけ多くグループ化するには、リポジトリ、または organization の \\[Advanced Security] の \\[Global settings] の \\[Advanced Security] 設定でグループ化を有効にします。\n* パッケージ名、開発と運用の依存関係、SemVer レベル、複数のディレクトリにわたるエコシステムごとによるグループ化など、グループ化をより細かく制御するには、リポジトリの `dependabot.yml` 構成ファイルに構成オプションを追加します。\n\n> \\[!NOTE]\n> `dependabot.yml` ファイル内で Dependabot security updates のグループルールを構成した場合、使用できるすべての更新は、指定したルールに従ってグループ化されます。 Dependabot は、Organization またはリポジトリ レベルでグループ化されたセキュリティ アップデートの設定も有効になっている場合、`dependabot.yml` で構成されていないディレクトリ間でのみグループ化されます。\n\n### 個々のリポジトリのグループ化された Dependabot security updates の有効化または無効化\n\n1. GitHub で、リポジトリのメイン ページに移動します。\n2. リポジトリ名の下にある **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-gear\" aria-label=\"gear\" role=\"img\"><path d=\"M8 0a8.2 8.2 0 0 1 .701.031C9.444.095 9.99.645 10.16 1.29l.288 1.107c.018.066.079.158.212.224.231.114.454.243.668.386.123.082.233.09.299.071l1.103-.303c.644-.176 1.392.021 1.82.63.27.385.506.792.704 1.218.315.675.111 1.422-.364 1.891l-.814.806c-.049.048-.098.147-.088.294.016.257.016.515 0 .772-.01.147.038.246.088.294l.814.806c.475.469.679 1.216.364 1.891a7.977 7.977 0 0 1-.704 1.217c-.428.61-1.176.807-1.82.63l-1.102-.302c-.067-.019-.177-.011-.3.071a5.909 5.909 0 0 1-.668.386c-.133.066-.194.158-.211.224l-.29 1.106c-.168.646-.715 1.196-1.458 1.26a8.006 8.006 0 0 1-1.402 0c-.743-.064-1.289-.614-1.458-1.26l-.289-1.106c-.018-.066-.079-.158-.212-.224a5.738 5.738 0 0 1-.668-.386c-.123-.082-.233-.09-.299-.071l-1.103.303c-.644.176-1.392-.021-1.82-.63a8.12 8.12 0 0 1-.704-1.218c-.315-.675-.111-1.422.363-1.891l.815-.806c.05-.048.098-.147.088-.294a6.214 6.214 0 0 1 0-.772c.01-.147-.038-.246-.088-.294l-.815-.806C.635 6.045.431 5.298.746 4.623a7.92 7.92 0 0 1 .704-1.217c.428-.61 1.176-.807 1.82-.63l1.102.302c.067.019.177.011.3-.071.214-.143.437-.272.668-.386.133-.066.194-.158.211-.224l.29-1.106C6.009.645 6.556.095 7.299.03 7.53.01 7.764 0 8 0Zm-.571 1.525c-.036.003-.108.036-.137.146l-.289 1.105c-.147.561-.549.967-.998 1.189-.173.086-.34.183-.5.29-.417.278-.97.423-1.529.27l-1.103-.303c-.109-.03-.175.016-.195.045-.22.312-.412.644-.573.99-.014.031-.021.11.059.19l.815.806c.411.406.562.957.53 1.456a4.709 4.709 0 0 0 0 .582c.032.499-.119 1.05-.53 1.456l-.815.806c-.081.08-.073.159-.059.19.162.346.353.677.573.989.02.03.085.076.195.046l1.102-.303c.56-.153 1.113-.008 1.53.27.161.107.328.204.501.29.447.222.85.629.997 1.189l.289 1.105c.029.109.101.143.137.146a6.6 6.6 0 0 0 1.142 0c.036-.003.108-.036.137-.146l.289-1.105c.147-.561.549-.967.998-1.189.173-.086.34-.183.5-.29.417-.278.97-.423 1.529-.27l1.103.303c.109.029.175-.016.195-.045.22-.313.411-.644.573-.99.014-.031.021-.11-.059-.19l-.815-.806c-.411-.406-.562-.957-.53-1.456a4.709 4.709 0 0 0 0-.582c-.032-.499.119-1.05.53-1.456l.815-.806c.081-.08.073-.159.059-.19a6.464 6.464 0 0 0-.573-.989c-.02-.03-.085-.076-.195-.046l-1.102.303c-.56.153-1.113.008-1.53-.27a4.44 4.44 0 0 0-.501-.29c-.447-.222-.85-.629-.997-1.189l-.289-1.105c-.029-.11-.101-.143-.137-.146a6.6 6.6 0 0 0-1.142 0ZM11 8a3 3 0 1 1-6 0 3 3 0 0 1 6 0ZM9.5 8a1.5 1.5 0 1 0-3.001.001A1.5 1.5 0 0 0 9.5 8Z\"></path></svg> \\[Settings]** をクリックします。 \\[設定] タブが表示されない場合は、 **\\[<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-kebab-horizontal\" aria-label=\"More\" role=\"img\"><path d=\"M8 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3ZM1.5 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Zm13 0a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Z\"></path></svg>]** ドロップダウン メニューを選び、 **\\[設定]** をクリックします。\n\n   ![タブを示すリポジトリ ヘッダーのスクリーンショット。 \\[設定\\] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/images/help/repository/repo-actions-settings.png)\n3. サイドバーの \\[Security] セクションで、**\\[<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-codescan\" aria-label=\"codescan\" role=\"img\"><path d=\"M8.47 4.97a.75.75 0 0 0 0 1.06L9.94 7.5 8.47 8.97a.75.75 0 1 0 1.06 1.06l2-2a.75.75 0 0 0 0-1.06l-2-2a.75.75 0 0 0-1.06 0ZM6.53 6.03a.75.75 0 0 0-1.06-1.06l-2 2a.75.75 0 0 0 0 1.06l2 2a.75.75 0 1 0 1.06-1.06L5.06 7.5l1.47-1.47Z\"></path><path d=\"M12.246 13.307a7.501 7.501 0 1 1 1.06-1.06l2.474 2.473a.749.749 0 0 1-.326 1.275.749.749 0 0 1-.734-.215ZM1.5 7.5a6.002 6.002 0 0 0 3.608 5.504 6.002 6.002 0 0 0 6.486-1.117.748.748 0 0 1 .292-.293A6 6 0 1 0 1.5 7.5Z\"></path></svg> Advanced Security]** をクリックします。\n4. \\[グループ化されたセキュリティ更新プログラム] の右側にある \\[Dependabot] で、\\[ **有効]** をクリックして機能を有効にするか **、\\[無効にする]** をクリックして無効にします。\n\n### 組織のグループ化された Dependabot security updates を有効または無効にする\n\n```\n           グループ化された Dependabot security updates を 1 つのプル要求に有効にすることができます。 詳しくは、「[AUTOTITLE](/code-security/securing-your-organization/enabling-security-features-in-your-organization/configuring-global-security-settings-for-your-organization#grouping-dependabot-security-updates)」をご覧ください。\n```\n\n## 構成ファイルを使用した既定の動作のオーバーライド\n\n```\n          Dependabot security updates ファイルをリポジトリに追加することで、`dependabot.yml`の既定の動作をオーバーライドできます。 \n          `dependabot.yml` ファイルを使用すると、グループ化をより細かく制御し、Dependabot security updates設定の既定の動作をオーバーライドできます。\n\n          `groups` オプションを`applies-to: security-updates` キーと共に使用して依存関係のセット (パッケージ マネージャーごと) を作成し、Dependabot複数の依存関係を同時に更新する 1 つのプル要求を開きます。 パッケージ名 (`patterns` や `exclude-patterns` キー)、依存関係の種類 (`dependency-type` キー)、SemVer (`update-types` キー) でグループを定義できます。\n```\n\nDependabot は、`dependabot.yml` ファイルに表示される順序でグループを作成します。 依存関係の更新が複数のグループに属している可能性がある場合、一致する最初のグループにのみ割り当てられます。\n\n```\n          _セキュリティ_更新プログラムのみを必要とし、_バージョン_更新プログラムを除外する場合は、特定の `open-pull-requests-limit` のバージョン更新プログラムを防ぐために `0` を `package-ecosystem` に設定できます。\n```\n\nセキュリティ更新プログラムで使用可能な構成オプションについて詳しくは、「[Dependabot セキュリティ更新プログラム用に pull request をカスタマイズする](/ja/code-security/dependabot/dependabot-security-updates/customizing-dependabot-security-prs)」をご覧ください。\n\n```yaml copy\n# Example configuration file that:\n#  - Has a private registry\n#  - Ignores lodash dependency\n#  - Disables version-updates\n#  - Defines a group by package name, for security updates for golang dependencies\n\nversion: 2\nregistries:\n  example:\n    type: npm-registry\n    url: https://example.com\n    token: ${{secrets.NPM_TOKEN}}\nupdates:\n  - package-ecosystem: \"npm\"\n    directory: \"/src/npm-project\"\n    schedule:\n      interval: \"daily\"\n    # For Lodash, ignore all updates\n    ignore:\n      - dependency-name: \"lodash\"\n    # Disable version updates for npm dependencies\n    open-pull-requests-limit: 0\n    registries:\n      - example\n  - package-ecosystem: \"gomod\"\n    directories:\n      - \"**/*\"\n    schedule:\n      interval: \"weekly\"\n    open-pull-requests-limit: 0\n    groups:\n      golang:\n        applies-to: security-updates\n        patterns:\n          - \"golang.org*\"\n```\n\n> \\[!NOTE]\n\n```\n          Dependabotセキュリティ更新プログラムにこの構成を使用するには、`directory`がマニフェスト ファイルへのパスである必要があります (または、マニフェスト ファイルの場所に一致するパスまたは glob パターンを含める必要`directories`)。また、`target-branch`を指定しないでください。\n```\n\n## 詳細については、次を参照してください。\n\n* [Dependabot アラートについて](/ja/code-security/dependabot/dependabot-alerts/about-dependabot-alerts)\n* [Dependabot アラートの構成](/ja/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts)\n* [依存関係グラフがサポートされるパッケージ エコシステム](/ja/code-security/supply-chain-security/understanding-your-software-supply-chain/dependency-graph-supported-package-ecosystems#supported-package-ecosystems)"}