3 min
GitHub Dependabot Alertを有効化したらRenovateが対象のPRを投げてくれる
Dependabot Alertを有効化するだけで、RenovateがセキュリティPRを投げてくれるようになる
#Dependabot alerts#Renovate
1 posts
#Dependabot alerts
News bits
5 件Dependabot、npm依存のマルウェア検知
GitHub Advisory Database 照合による opt-in の malware アラート。CVE 系とは別カテゴリ、ルールによる絞り込み、有効化時の既存分バックフィル。現状 npm のみ。
Dependabotアラートのassignee割当が一般公開
write 権限ユーザーへの割当、code scanning・secret scanning アラートと同じ運用。REST API・Webhook、監査ログとメール通知。github.com は GHAS、GHES は3.22以降。
Dependabotのアラート却下時にレビューを必須化できる機能
Dependabotのアラートを閉じる(dismiss)際に、レビュープロセスを必須化できる「Delegated alert dismissal」機能がGitHub Code Security顧客向けに利用可能になった。 これにより、誤った操作や不正な却下を防ぎ、脆弱性対応の説明責任(Accountability)を強化できる。 本機能は github.com および GitHub Enterprise Server 3.21 で利用可能。 ### 参考文献
Dependabotがuvのセキュリティアップデートに対応
uvの依存関係に脆弱性が検出された際、アラート発行と更新PRの自動作成が可能に。
Dependabotアラートのバッチ更新機能が一般提供開始
GitHubのDependabotアラートでバッチ更新機能が一般提供開始。組織全体で複数のDependabotアラートを一度に却下または再開可能になり、セキュリティチームと開発チームのアラート管理が効率化。従来は個別アラート管理のみだったが、チェックボックスで複数選択してバルク更新できるようになった。セキュリティマネージャー役割のメンバーと「Dependabotアラートを表示」権限を持つユーザーが利用可能で、手動作業の削減とワークフローの合理化を実現。 ### 参考文献