custom security configurations
について
GitHub-recommended security configuration で Enterprise をセキュリティ保護した後、custom security configurations を構成する前に、リポジトリでのセキュリティの調査結果を評価することをお勧めします。 詳しくは、「Enterprise に対する GitHub 推奨のセキュリティ構成の適用」をご覧ください。
custom security configurations を使うと、GitHub のセキュリティ製品の有効化設定のコレクションを作成して、Enterprise で必要な特定のセキュリティを満たすことができます。 たとえば、organization または organization のグループごとに異なる custom security configuration を作成して、それらに固有のセキュリティ要件とコンプライアンス義務を反映できます。
custom security configuration の作成
Note
一部のセキュリティ機能の有効化状態は、他の上位レベルのセキュリティ機能に依存します。 たとえば、依存関係グラフを無効にすると、依存関係自動送信、Dependabot alerts、脆弱性暴露分析、セキュリティ更新も無効になります。
-
GitHub の右上隅にあるプロフィール写真をクリックします。
-
ご自分の環境に応じて、[Your enterprise] または [Your enterprises] をクリックし、表示するエンタープライズをクリックします。
-
ページの左側にある Enterprise アカウントのサイドバーで、 [設定] をクリックします。
-
左側のサイドバーで、[Code security] をクリックします。
-
[Configurations] セクションで、[New configuration] をクリックします。
-
[Configurations] ページで custom security configuration を見つけやすくし、その目的を明確にするため、構成に名前を付けて説明を作成します。
-
[GitHub Advanced Security 機能] 行で、GitHub Advanced Security (GHAS) 機能を含めるか除外するかを選択します。 GHAS 機能を持つ custom security configuration をプライベート リポジトリに適用する場合は、それらのリポジトリに対するアクティブな一意のコミッターごとに使用可能な GHAS ライセンスが必要です。そうでないと、機能は有効になりません。 「GitHub Advanced Security の課金について」を参照してください。
-
セキュリティ設定テーブルの [Dependency graph and Dependabot] セクションで、次のセキュリティ機能について、有効にするか、無効にするか、既存の設定を維持するかを選びます。
-
依存関係グラフ 依存関係グラフの詳細については、「依存関係グラフについて」を参照してください。
-
依存関係の自動送信。 依存関係の自動送信の詳細については、「リポジトリの依存関係の自動送信の構成」を参照してください。
-
Dependabot alerts。 Dependabot alerts については、「Dependabot アラートについて」をご覧ください。
-
セキュリティ更新プログラム。 セキュリティ アップデートの詳細については、「Dependabot のセキュリティ アップデート」を参照してください。
Note
脆弱な関数呼び出しについては、有効化設定を手動で変更することはできません。 GitHub Advanced Security 機能と Dependabot alerts が有効になっている場合、脆弱な関数呼び出しも有効になります。 それ以外の場合は、無効になります。
-
-
セキュリティの設定テーブルの [Code scanning] セクションで、code scanning の既定のセットアップについて、有効にするか、無効にするか、既存の設定を保持するかを選択します。 既定のセットアップの詳細については、「コード スキャンの既定セットアップの構成」を参照してください。
-
セキュリティの設定テーブルの [Secret scanning] セクションで、次のセキュリティ機能について、有効にするか、無効にするか、既存の設定を保持するかを選択します。
- アラート。 secret scanning については、「シークレット スキャンについて」をご覧ください。
- プロバイダー以外のパターン。 プロバイダー以外のパターンのスキャンの詳細については、「サポートされているシークレット スキャン パターン」と「シークレット スキャンからのアラートの表示とフィルター処理」を参照してください。
- プッシュ保護。 プッシュ保護の詳細については、「プッシュ保護について」を参照してください。
-
セキュリティの設定テーブルの [プライベート脆弱性レポート] セクションで、プライベート脆弱性レポートについて、有効にするか、無効にするか、既存の設定を保持するかを選択します。 プライベート脆弱性レポートの詳細については、「リポジトリのプライベート脆弱性レポートの構成」を参照してください。
-
必要に応じて、[ポリシー] セクションで、新しく作成されたリポジトリに security configuration を可視性に応じて自動的に適用することを選択できます。 [None] ドロップダウン メニューを選び、[Public]、[Private and internal]、または [All repositories] をクリックします。
-
必要に応じて、[ポリシー] セクションで、構成を適用し、リポジトリ所有者が構成によって有効または無効になっている機能を変更できないようにすることができます (設定されていない機能は適用されません)。 [構成の強制] の横にあるドロップダウン メニューから [強制] を選択します。
Note
Enterprise 内のユーザーが REST API を使って、適用対象の構成で機能の有効化状態を変更しようとした場合、API 呼び出しは成功したように見えますが、有効化状態は変更されません。
状況によっては、リポジトリに対する security configurations の適用が中断される場合があります。 たとえば、次の場合、code scanning の有効化はリポジトリには適用されません。
- GitHub Actions は、最初はリポジトリで有効になっていますが、その後、リポジトリで無効になります。
- code scanning 構成に必要な GitHub Actions は、リポジトリで使用できません。
- code scanning の既存のセットアップを使用して言語を分析することができない定義が変更されます。
-
custom security configuration の作成を完了するには、[構成の保存] をクリックします。
次のステップ
必要に応じて、Enterprise に追加の secret scanning 設定を構成するには、「Enterprise 用の追加のシークレット スキャン設定の構成」を参照してください。
Organization 内のリポジトリに custom security configuration を適用するには、「カスタム セキュリティ構成の適用」を参照してください。
custom security configuration の編集方法については、「カスタム セキュリティ構成の編集」を参照してください。