ツール・製品
Dependabot
Dependabot
定義
GitHubで依存関係の更新や脆弱性修正のPull Requestを自動作成する機能。
詳細解説
Dependabotは脆弱な依存関係を放置しないための入口になります。ただし自動PRをマージするだけでは不十分で、テスト、破壊的変更、リリース影響の確認が必要です。
ポイント
- 依存関係更新を自動化する
- 脆弱性修正PRを作成できる
- CIとレビュー運用がセットで必要
関連用語
同じカテゴリの用語(ツール・製品)
Cosign
Cosign
Sigstoreプロジェクトの一部として使われる、コンテナイメージや成果物への署名・検証ツール。…
Nmap
Nmap
ネットワークスキャナー。ホスト探索・ポートスキャン・サービス/OSバージョン検出・NSEスクリプトによる脆弱性検査が可能…
OSINT
Open Source Intelligence
公開情報(Webサイト・SNS・Whois・DNS・サーチエンジン等)から対象に関する情報を収集・分析する手法。セキュリ…
Push Protection
Push Protection
秘密情報が含まれる可能性のあるコミットを、リモートへpushされる前にブロックする保護機能。…
Secret Scanning
Secret Scanning
リポジトリやコード内に含まれるAPIキー、トークン、秘密情報らしき文字列を検出する仕組み。…
Sigma
Sigma
SIEM向けの検知ロジックをベンダー非依存の形式で記述するためのルール記述フォーマット。…