Dependabot alerts の通知オプション
ユーザー アカウントの通知オプションは、https://github.com/settings/notifications にあります。 各リポジトリの通知設定は、リポジトリの Watch 設定で構成できます。
リポジトリの Dependabot alerts に関する通知を受け取るには、これらのリポジトリを監視し、"すべてのアクティビティ" 通知を受け取るようにサブスクライブするか、"セキュリティ アラート" を含めるようにカスタム設定を構成する必要があります。 詳しくは、「通知を設定する」をご覧ください。 通知の配信方法と、通知が送信される頻度を選択できます。 既定では、通知が届きます。
- インボックスで、Web 通知として。 Web 通知は、Dependabot がリポジトリで有効にされていて、新しいマニフェスト ファイルがリポジトリにコミットされたときに、重要度が重大または高の新しい脆弱性が見つかった場合に送信されます ( [GitHub 上] オプション)。
- メールで。 メールは、Dependabot がリポジトリで有効にされており、新しいマニフェスト ファイルがリポジトリにコミットされたときに重要度が重大または高の新しい脆弱性が見つかった場合に送信されます ([Email] オプション)。
- コマンド ラインで。 安全ではない依存関係があるリポジトリにプッシュを行うと、コールバックとして警告が表示されます ([CLI] オプション)。
- GitHub Mobile では、Web 通知として表示されます。 詳しくは、「通知を設定する」をご覧ください。
メモ
メールと Web および GitHub Mobile の通知は次のとおりです。
- Dependabot がリポジトリで有効にされているとき、または新しいマニフェスト ファイルがリポジトリにコミットされたときは、"リポジトリごと"。
- 新しい脆弱性が検出されたときは、"組織ごと"。
- 新しい脆弱性が検出されたときに送信されます。 脆弱性が更新されたときには、GitHub は通知を送信しません。
Dependabot alertsに関する通知を受け取る方法をカスタマイズできます。 たとえば、 [週単位のメール ダイジェスト] オプションを使用すると、最大 10 個のリポジトリについてアラートを要約した週単位のダイジェスト メールを受け取ることができます。
利用可能な通知の配信方法の詳細と、Dependabot alerts の通知を最適化するためのアドバイスについては、「Dependabot アラートの通知を構成する」を参照してください。
Secret scanning 通知オプション
新しいシークレットが検出されると、GitHub は、通知設定に従ってリポジトリのセキュリティ アラートにアクセスできるすべてのユーザーに通知します。 これらのユーザーは次のとおりです。
- リポジトリ管理者
- セキュリティマネージャー
- 読み書きアクセス権が与えられるカスタム ロールを持つユーザー
- Organization 所有者とエンタープライズ所有者。シークレットが漏洩したリポジトリの管理者である場合
メモ
シークレットを誤ってコミットしてしまったコミット作成者には、通知の基本設定に関係なく通知が行われます。
次の場合に、電子メール通知を受け取ります。
- リポジトリをウォッチしている。
- リポジトリ上のカスタム "セキュリティ アラート" の "すべてのアクティビティ" に対して通知を有効にしました。
- 通知設定の [サブスクリプション] の [ウォッチ] で、メールで通知を受け取ることを選んでいる。
さらに、他のユーザーによって自分にsecret scanning アラートが割り当てられた場合は通知を受け取ります。「アラートの割り当て」をご覧ください。
シークレット スキャンニング アラート の通知を構成する方法の詳細については、「シークレット スキャンからのアラートの監視」を参照してください。