Dependabotセキュリティ設定手順書

このドキュメントでは、GitHubリポジトリでDependabotのセキュリティ機能を有効化する手順を説明します。

前提条件

• リポジトリの管理者権限を持っていること
• GitHubリポジトリの設定画面にアクセスできること

設定手順

1. リポジトリ設定画面を開く

1. GitHubリポジトリのページにアクセスします
2. リポジトリ名の下にある Settings タブをクリックします
3. 左側のメニューから Code security and analysis を選択します

2. Dependency graphの有効化

1. Dependency graph セクションを探します
2. Enable ボタンをクリックします
   • この機能により、リポジトリで使用されている依存関係のグラフが生成されます
   • Dependabotが動作するために必要な前提条件です

3. Dependabot alertsの有効化

1. Dependabot alerts セクションを探します
2. Enable ボタンをクリックします
   • この機能により、既知の脆弱性を含む依存関係が検出された際にアラートが表示されます
   • セキュリティ上の問題を早期に発見できます

4. Dependabot security updatesの有効化

1. Dependabot security updates セクションを探します
2. Enable ボタンをクリックします
   • この機能により、セキュリティ脆弱性を修正するプルリクエストが自動的に作成されます
   • 手動での対応が不要になり、セキュリティパッチの適用が迅速化されます

設定後の動作確認

設定が完了すると、以下のように動作します：

1. 自動スキャン: リポジトリの依存関係が定期的にスキャンされます
2. アラート表示: 脆弱性が検出された場合、リポジトリの Security タブにアラートが表示されます
3. 自動PR作成: セキュリティ更新が利用可能な場合、Dependabotが自動的にプルリクエストを作成します

注意事項

• セキュリティ更新のプルリクエストは、既存のCI/CDパイプライン（PHPUnitテストなど）を通過する必要があります
• プルリクエストは自動的にマージされないため、レビューと承認が必要です
• 大量の依存関係がある場合、初期スキャンに時間がかかる場合があります

関連ドキュメント

• GitHub Dependabot公式ドキュメント
• Dependabot設定ファイルリファレンス

参考

• Issue: #748
• 設定ファイル: .github/dependabot.yml