About custom security configurations
We recommend securing your organization with the GitHub-recommended security configuration, then evaluating the security findings on your repositories before configuring custom security configurations. For more information, see "組織での GitHub で推奨されるセキュリティ構成の適用."
With custom security configurations, you can create collections of enablement settings for GitHub's security products to meet the specific security needs of your organization. For example, you can create a different custom security configuration for each group of repositories to reflect their different levels of visibility, risk tolerance, and impact.
Creating a custom security configuration
Note
The enablement status of some security features is dependent on other, higher-level security features. For example, disabling dependency graph will also disable Dependabot, vulnerability exposure analysis, and security updates. For security configurations, dependent security features are indicated with indentation and .
-
GitHub の右上隅で、プロフィール写真を選択し、 あなたの組織をクリックします。
-
組織名の下で、 [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
-
サイドバーの [セキュリティ] セクションで、ドロップダウン メニューの [コード セキュリティ] を選択し、次に [構成] をクリックします。
-
In the "Code security configurations" section, click New configuration.
-
To help identify your custom security configuration and clarify its purpose on the "Code security configurations" page, name your configuration and create a description.
-
In the "GitHub Advanced Security features" row, choose whether to include or exclude GitHub Advanced Security (GHAS) features. If you plan to apply a custom security configuration with GHAS features to private repositories, you must have available GHAS licenses for each active unique committer to those repositories, or the features will not be enabled. See "GitHub Advanced Security の課金について."
-
In the "Dependency graph" section of the security settings table, choose whether you want to enable, disable, or keep the existing settings for the following security features:
-
Dependency graph. To learn about dependency graph, see "依存関係グラフについて."
-
Automatic dependency submission. To learn about automatic dependency submission, see "リポジトリの依存関係の自動送信の構成."
-
Dependabot. To learn about Dependabot, see "Dependabot アラートについて."
-
Security updates. To learn about security updates, see "Dependabot のセキュリティ アップデート."
Note
You cannot manually change the enablement settings for vulnerable function calls. If GitHub Advanced Security features and Dependabot alerts are enabled, vulnerable function calls is also enabled. Otherwise, it is disabled.
-
-
In the "Code scanning" section of the security settings table, choose whether you want to enable, disable, or keep the existing settings for code scanning default setup. To learn about default setup, see "コード スキャンの既定セットアップの構成."
-
In the "Secret scanning" section of the security settings table, choose whether you want to enable, disable, or keep the existing settings for the following security features:
- Secret scanning. To learn about secret scanning, see "シークレット スキャンについて."
- Push protection. To learn about push protection, see "プッシュ保護について."
-
In the "Private vulnerability reporting" section of the security settings table, choose whether you want to enable, disable, or keep the existing settings for private vulnerability reporting. To learn about private vulnerability reporting, see "リポジトリのプライベート脆弱性レポートの構成."
-
Optionally, in the "Policy" section, you can choose to automatically apply the security configuration to newly created repositories depending on their visibility. Select the None dropdown menu, then click Public, or Private and internal, or both.
注: 組織でのデフォルトの security configuration は、組織で作成された新しいリポジトリにのみ自動的に適用されます。 リポジトリが組織に転送された場合でも、リポジトリに対し適切な security configuration を手動で適用する必要があります。
-
Optionally, in the "Policy" section, you can enforce the configuration and block repository owners from changing features that are enabled or disabled by the configuration (features that are not set aren't enforced). Next to "Enforce configuration", select Enforce from the dropdown menu.
Note
Organization 内のユーザーが REST API を使用して、適用された構成の機能の有効化状態を変更しようとすると、API コールは成功したように見えますが、有効化状態は変更されません。
状況によっては、リポジトリに対する security configurations の適用が中断される場合があります。 たとえば、次の場合、code scanning の有効化はリポジトリには適用されません。
- GitHub Actions は、最初はリポジトリで有効になっていますが、その後、リポジトリで無効になります。
- code scanning 構成に必要な GitHub Actions は、リポジトリで使用できません。
- code scanning の既存のセットアップを使用して言語を分析することができない定義が変更されます。
-
To finish creating your custom security configuration, click Save configuration.
Next steps
To apply your custom security configuration to repositories in your organization, see "カスタム セキュリティ構成の適用."
custom security configuration の編集方法を確認するには、「カスタム セキュリティ構成の編集」を参照してください。