企業内別組織の内部リポジトリに対する Dependabot アクセス機能の追加
GitHub は、エンタープライズレベルのポリシー設定により、異なる組織にまたがる内部リポジトリ間の依存関係に対して Dependabot が自動的にプルリクエストを生成できるよう機能を拡張した。
キーポイント
クロス組織アクセス機能の追加
従来は同一組織内のみだった制限が解除され、同じエンタープライズ内の異なる組織にホストされる内部リポジトリへの依存関係も更新対象となる。
エンタープライズレベルでの一元管理
管理者は「Advanced Security Policies」ページから、全内部リポジトリに対する Dependabot アクセス権限を一度に付与・管理できるようになった。
セキュリティと自動化の強化
これにより、分散した内部ライブラリの脆弱性修正や依存関係更新が手動を介さず自動的に行われ、エンタープライズ全体のセキュリティリスクが低減する。
影響分析・編集コメントを表示
影響分析
この機能は、大規模なエンタープライズ環境において、リポジトリが複数組織に分散している場合の運用負荷を劇的に軽減します。特に、共通ライブラリや基盤モジュールを別組織で管理し、それを多数のプロジェクトが利用する構成において、セキュリティパッチ適用の遅延リスクを解消し、DevSecOps の自動化レベルを一段階引き上げます。
編集コメント
大規模組織におけるコード資産の分散化が進む中で、セキュリティ更新の自動化を跨組織で実現できる点は、運用効率化において極めて実用的な進化と言えます。
Dependabot は現在、貴社の企業内で他の組織にホストされている内部リポジトリにもアクセスできるようになりました。
依存関係が内部の GitHub リポジトリにホストされている状況を想定してください。このリポジトリは、その依存関係を使用するプロジェクトと同じ企業内にありますが、異なる組織に属しています。このような場合、Dependabot にすべての内部リポジトリへのアクセス権限を付与できるようになり、これは企業の「Advanced Security Policies」ページから行うことができます。
従来、Dependabot は同じ組織内のリポジトリのみしかアクセスできず、その結果、内部リポジトリにおける組織間依存関係には自動更新が適用されませんでした。今回の変更により、企業および組織の管理者は、企業が所有するすべての内部リポジトリに対する Dependabot のアクセス権限を付与できるようになり、Dependabot はどの組織にホストされているかに関わらず、依存関係に対してプルリクエストを開くことが可能になります。
開始方法
内部リポジトリおよび公開リポジトリの場合:企業レベルで Dependabot アクセスを恒久的に有効化してください。一度有効化すると、現在のすべての内部リポジトリと将来作成される内部リポジトリは自動的に Dependabot アクセス権限が付与されます。
この機能は本日、github.com で利用可能となり、GHES 3.22 で Enterprise Server にも導入されます。
組織内のすべての内部リポジトリで Dependabot を有効化するには:
企業の「Policies」ページに移動します。
左側のペインから「Advanced Security」を選択します。
ページの一番下までスクロールし、「Grant Dependabot access to repositories」セクションを見つけます。
Dependabot を使用して更新を行うリポジトリに対して、適用するポリシーを選択してください。
詳細情報
パブリック、プライベート、および内部リポジトリの種類
エンタープライズにおける Dependabot の管理
Dependabot セキュリティアップデートについて
この機能に関するご意見をお聞かせください。GitHub コミュニティディスカッションにて皆様のご意見を伺いたく存じます。
本記事「Cross-org Dependabot access for internal repositories」は、最初に The GitHub Blog で公開されました。
原文を表示
Dependabot can now access internal repositories hosted in other organizations within your enterprise.
Consider the situation where you have a dependency hosted in an internal GitHub repository. This repository is in the same enterprise as the project that uses the dependency, but it’s in a different organization. In this situation, you can now grant Dependabot the ability to access all internal repositories, and you can do this from your enterprise’s Advanced Security Policies page.
Previously, Dependabot could only access repositories within the same organization, which meant cross-organization dependencies in internal repositories couldn’t receive automatic updates. With this change, enterprise and organization administrators can grant Dependabot access to all internal repositories across their enterprise, so Dependabot can open pull requests for dependencies regardless of which organization hosts them.
Get started
For internal and public repositories: Enable Dependabot access permanently at the enterprise level. Once enabled, all current and future internal repositories will automatically have Dependabot access.
This improvement is available today on github.com and will come to enterprise server in GHES 3.22.
To enable Dependabot for all internal repositories in your organization:
Navigate to your enterprise’s “Policies” page.
Select Advanced Security from the left-side pane.
Scroll to the end of the page to the “Grant Dependabot access to repositories” section.
Select the policy for repositories you’d like to use for updates with Dependabot.
Learn more
Public, private, and internal repository types
Managing Dependabot in your enterprise
About Dependabot security updates
Have feedback about this feature? We’d love to hear from you in GitHub Community Discussions.
The post Cross-org Dependabot access for internal repositories appeared first on The GitHub Blog.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み