多くの場合、ソフトウェアはさまざまなソースのパッケージに依存し、プロジェクトのセキュリティを脅かす可能性のある依存関係を作成します。 たとえば、悪意のあるアクターは悪意のあるパッケージを使用してマルウェア攻撃を実行し、コード、データ、ユーザー、共同作成者にアクセスできます。
プロジェクトのセキュリティを維持するために、 Dependabot は既知の悪意のあるパッケージの依存関係を確認し、推奨される修復手順でアラートを作成できます。
Dependabotがmalware alertsを送信するとき
Dependabot は、リポジトリの既定のブランチ内のパッケージに悪意のあるフラグが設定されている場合に malware alerts を送信します。 既存の依存関係に対するアラートは、パッケージにフラグが設定され、新しいアドバイザリデータがGitHub.comから届きインスタンスに1時間ごとに同期されるとすぐにGitHub Advisory Database。
既知の悪意のあるパッケージを追加したり、パッケージを既知の悪意のあるバージョンに更新したりするコミットをプッシュすると、アラートも生成されます。
メモ
内部パッケージのエコシステム、名前、バージョンが悪意のあるパブリック パッケージのものと一致する場合、 Dependabot は誤検知アラートを生成する可能性があります。
警告の内容
Dependabotが悪意のある依存関係を検出すると、リポジトリの [ Security and quality] タブに**** が表示されます。各アラートには次のものが含まれます。
- 影響を受けるファイルへのリンク
- パッケージ名、影響を受けるバージョン、修正プログラムが適用されたバージョン (使用可能な場合) など、悪意のあるパッケージに関する詳細
- 修復ステップ
在庫状況
現在、 Dependabot malware alerts は、 npm エコシステム内のパッケージで使用できます。
アラート通知
既定では、 GitHub は次の両方のユーザーに新しいアラートに関する電子メール通知を送信します。
- リポジトリに対する書き込み、保守、または管理者のアクセス許可を持っている
- リポジトリを監視していて、セキュリティ アラートまたはリポジトリのすべてのアクティビティに対する通知を有効にしている
GitHub.comでは、受信する通知の種類を選択するか、https://github.com/settings/notificationsのユーザー通知の設定ページで通知を完全にオフにすることで、既定の動作をオーバーライドできます。
通知の受信が多すぎる場合は、 Dependabot 自動トリアージ ルール を利用してリスクの低いアラートを自動的に無視することをお勧めします。 「Dependabot 自動トリアージ ルールについて」を参照してください。
制限事項
Dependabot malware alerts にはいくつかの制限があります。
- アラートでは、すべてのセキュリティの問題をキャッチすることはできません。 依存関係を常に確認し、マニフェストとロック ファイルを最新の状態に保ち、正確な検出を行います。
- 新しいマルウェアが GitHub Advisory Database に表示され、アラートがトリガーされるまでに時間がかかる場合があります。
- GitHubによってレビューされたアドバイザリのみがアラートをトリガーします。
- Dependabot はアーカイブされたリポジトリをスキャンしません。
- GitHub Actions、アラートは、SHA バージョン管理ではなく、セマンティック バージョン管理を使用するアクションに対してのみ生成されます。
GitHub は、リポジトリの悪意のある依存関係を公開することはありません。
次のステップ
悪意のある依存関係からプロジェクトの保護を開始するには、 Dependabot マルウェア アラートの構成 を参照してください。