GitHub Dependabot Alertsを溜めた話とその対処法
2024年 11月 14日 木曜日
はじめに
GitHub Dependabot Alertsを長期間放置した結果、大量のアラートに悩まされた経験と、その対処法について共有します。 依存関係の管理やセキュリティに関心のある方の参考になれば幸いです。
背景
GitHub Dependabotとは
GitHub Dependabotは、GitHubが提供する依存関係の管理ツールで、パッケージのアップデートやセキュリティアラートを自動的に通知してくれます。 プロジェクトのセキュリティリスクを低減し、最新の状態を維持するために非常に有用なツールです。
詳細
何が起きたか
以前、個人でハンズオン教材を使って簡単なアプリを作成し、そのコードをGitHubの非公開リポジトリに保存していました。 そのリポジトリでyarnのパッケージを更新するように勧める通知が来ていたものの、約半年間放置してしまいました。その結果、50件以上のDependabot Alertsが溜まってしまいました。
なぜ起きたか
- 非公開リポジトリでローカル環境のみ
リポジトリは非公開で、アプリはローカル環境でしか動作しないため、セキュリティリスクは低いと安易に考えていました。 - 今後更新するつもりがなかった
アプリを今後更新する予定がなかったため、依存関係の更新を後回しにしていました。 - アラートへの抵抗感
「アラート」という言葉に怖い印象を受け、対応方法を調べることを避けてしまいました。
どのように解決したか
大量のアラートを解消するために、以下の手順で対応しました。
-
古いパッケージの確認
ターミナルでyarn outdatedを実行し、更新が必要なパッケージの一覧を取得しました。$ yarn outdated info Color legend : "<red>" : メジャーアップデート(後方互換性なし) "<yellow>" : マイナーアップデート(後方互換性あり) "<green>" : パッチアップデート(バグ修正) Package Current Wanted Latest Package Type URL @rails/actioncable 6.0.2 6.1.7.10 8.0.0 dependencies https://rubyonrails.org/ ...このコマンドにより、更新が必要なパッケージとそのバージョン情報を一目で確認できます。
-
パッケージのアップデート
yarn upgrade [package-name]を使用して、パッケージを最新のWantedバージョンにアップデートしました。$ yarn upgrade @rails/actioncable -
動作確認
依存関係を更新した後、アプリが正しく動作するか確認しました。 -
変更内容の反映
変更内容をGitHubのリポジトリにpushし、Dependabot Alertsが消えていることを確認しました。 -
Dependabot Alertsの無効化
今後メンテナンスする予定のないリポジトリであるため、Dependabot Alertsを無効化しました。- リポジトリのSettings > Code securityから、Dependabot Alertsを無効に設定。
教訓
- 通知を無視しないこと
- 通知を放置すると、セキュリティリスクや後々の手間が増大します。早めの対処が重要です。
- 「アラート」や「警告」といった言葉に過度に恐れず、冷静に対処すること
- アラートの内容を確認し、必要な対応を行うことで問題を解決できます。
- メンテナンスの予定のないリポジトリは適切に処理する
- Dependabot Alertsを無効化するか、リポジトリ自体をアーカイブ化して管理負担を減らしましょう。
まとめ
今回の経験から、依存関係の管理とセキュリティ対策の重要性を再認識しました。 皆さんも、GitHubからの通知を見逃さず、適切に対応することをお勧めします。