組織のグローバル セキュリティ設定の構成

GitHub Advanced Security 機能をカスタマイズし、セキュリティ マネージャーを作成して組織のセキュリティを強化します。

この機能を使用できるユーザーについて

管理者 ロールを持つ組織の所有者、セキュリティ マネージャー、および組織メンバー

この記事の内容

global settings について

リポジトリ レベルのセキュリティ設定を決定する security configurations と共に、組織の global settings も構成する必要があります。 Global settings は組織全体に適用され、ニーズに基づいて GitHub Advanced Security 機能をカスタマイズできます。 global settings ページでセキュリティ マネージャーを作成して、組織のセキュリティを監視およびメインすることもできます。

組織の global settings ページへのアクセス

  1. GitHub の右上隅で、プロフィール写真を選択し、 あなたの組織をクリックします。

  2. 組織名の下で、 [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    組織のプロファイルのタブのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で囲まれています。

  3. サイドバーの [セキュリティ] セクションで、[コード セキュリティ] ドロップダウン メニューを選択し、Global settings をクリックします。

グローバル Dependabot 設定の構成

Dependabot は、依存関係の管理に役立つ 3 つの異なる機能で構成されています。

  • Dependabot alerts — リポジトリで使っている依存関係に内在する脆弱性について通知します。
  • Dependabot security updates — 使っている依存関係のうち、既知のセキュリティ脆弱性があるものを更新するための pull request を自動的に生成します。
  • Dependabot version updates — 依存関係を最新に保つための pull request を自動的に発行します。

Dependabot に対して、いくつかの global settings をカスタマイズできます。

Dependabot 自動トリアージ ルール の作成と管理

Dependabot 自動トリアージ ルール を作成して管理し、Dependabot に Dependabot alerts を自動的に無視または再通知するように指示したり、Pull Requestを開いて解決を試みることもできます。 Dependabot 自動トリアージ ルール を構成するには、 rules" %} をクリックし、ルールを作成または編集します。

  • 新しいルールを作成するには、[新しいルール] をクリックし、ルールの詳細を入力し、[ルールの作成] をクリックします。
  • 既存のルールを編集するには、 をクリックし、必要な変更を行い、[ルールの保存] をクリックします。

Dependabot 自動トリアージ ルール の詳細については、「Dependabot 自動トリアージ ルールについて」および「自動トリアージ ルールをカスタマイズして Dependabot アラートの優先度を設定する」を参照してください。

グループ化 Dependabot security updates

Dependabot では、自動的に推奨されるすべてのセキュリティ更新プログラムを 1 つのPull Requestにグループ化して、ノイズを軽減できます。 グループ化されたセキュリティ更新プログラムを有効にするには、[グループ化されたセキュリティ更新プログラム] を選択します。 グループ化された更新プログラムとカスタマイズ オプションの詳細については、「Configuring Dependabot security updates (Dependabot セキュリティ アップデートの構成)」を参照してください。

GitHub Actions ランナーでの依存関係の更新の有効化

Dependabot と GitHub Actions の両方が組織内の既存のリポジトリに対して有効になっている場合、GitHub は自動的に GitHub ホストランナーを使用して、それらのリポジトリの依存関係の更新を実行します。

それ以外の場合、Dependabot で GitHub Actions ランナーを使用して、組織のすべての既存リポジトリに対して依存関係の更新を実行するには、[アクション ランナーでの Dependabot] を選択します。

詳しくは、「GitHub Actions ランナーの Dependabot について」を参照してください。

プライベート レジストリと内部ネットワーク リソースへの Dependabot のアクセスをより詳細に制御するには、Dependabot を GitHub Actions セルフホステッド ランナーで実行するように構成します。 詳細については、「GitHub Actions ランナーの Dependabot について」および「セルフホステッド ランナーでの Dependabot の管理」を参照してください。

プライベート および内部

リポジトリへの Dependabot アクセスを許可します。

組織内のリポジトリのプライベート依存関係を更新するには、Dependabot がそれらのリポジトリにアクセスする必要があります。 Dependabot に目的のプライベート または内部 リポジトリへのアクセス権を付与するには、[プライベート リポジトリへの Dependabot アクセスを許可する] セクションまで下にスクロールし、検索バーを使用して目的のリポジトリを検索して選択します。 リポジトリに Dependabot アクセス権を付与すると、組織内のすべてのユーザーが Dependabot updates を介してそのリポジトリのコンテンツにアクセスできるようになります。 プライベート リポジトリでサポートされているエコシステムの詳細については、「Dependabot でサポートされているエコシステムとリポジトリ」を参照してください。

グローバルな code scanning 設定の構成

Code scanning は、GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディング エラーを見つけることができる機能です。 分析によって特定された問題は、リポジトリに表示されます。

code scanning に対して、いくつかの global settings をカスタマイズできます。

デフォルト設定に拡張クエリ スイートの推奨

Code scanning は、コードに対して実行するための、CodeQL クエリ スイートと呼ばれる、CodeQL クエリの特定のグループを提供します。 デフォルトでは、「デフォルト」 クエリ スイートが実行されます。 GitHub には「拡張」 クエリ スイートも用意されています。このスイートには、「デフォルト」クエリ スイート内のすべてのクエリと、精度と重大度が低い追加クエリが含まれています。 組織全体で 「拡張」 クエリ スイートを提案するには、「デフォルトのセットアップを有効にするリポジトリの拡張クエリ スイートを推奨」を選択します。 CodeQL の既定のセットアップの組み込みクエリ スイートの詳細については、「CodeQL クエリ スイート」を参照してください。

CodeQL の Copilot Autofix について

[Copilot Autofix] を選択すると、CodeQL デフォルト セットアップまたは CodeQL 詳細設定を使用する組織内のすべてのリポジトリに対して Copilot Autofix を有効にすることができます。 Copilot Autofix は、code scanning の拡張であり、code scanning アラートの修正を提案します。 詳しくは、「コード スキャンに対する Copilot Autofix の責任ある使用」を参照してください。

第三者の code scanning ツールの Copilot Autofix を有効にする

Note

第三者のcode scanning アラートのサポートは パブリック プレビュー であり、変更される可能性があります。 現在、第三者製ツールのESLint がサポートされています。 詳しくは、「コード スキャンに対する Copilot Autofix の責任ある使用」を参照してください。

**第三者製ツールの Copilot Autofix **を選択すると、第三者製ツールを使用する組織内のすべてのリポジトリに対して Copilot Autofix を有効にすることができます。 Copilot Autofix は、code scanning の拡張であり、code scanning アラートの修正を提案します。

Pull Requestの code scanning チェックの失敗しきい値の設定

Pull Requestで実行される code scanning チェックが失敗する重大度レベルを選択できます。 セキュリティ重大度レベルを選択するには、Security: SECURITY-SEVERITY-LEVEL ドロップダウン メニューを選択し、セキュリティ重大度レベルをクリックします。 アラートの重大度レベルを選択するには、その他の [ALERT-Standard Edition VERITY-LEVEL] ドロップダウン メニューを選択し、アラートの重大度レベルをクリックします。 詳しくは、「Code scanningアラートについて」を参照してください。

グローバルな secret scanning 設定の構成

Secret scanning は、リポジトリの Git 履歴全体や、それらのリポジトリ内の問題、pull request、およびディスカッションをスキャンし、誤ってコミットされ漏洩したトークンや秘密キーなどのシークレットに対応するためのセキュリティ ツールです。

secret scanning に対して、いくつかの global settings をカスタマイズできます。

ジェネリックシークレットの検出 と コパイロット シークレット スキャン

コパイロット シークレット スキャン の ジェネリックシークレットの検出 は、パスワードなどの非構造化シークレットのアラートをスキャンして作成する、secret scanning の AI を利用した拡張です。 これらのスキャンを有効にするには、[汎用シークレットのスキャン] を選択します 。 ジェネリック シークレットは、多くの場合、他の種類のアラートよりも誤検知率が高いことに注意してください。 ジェネリック シークレットの詳細については、「Copilotシークレットスキャンを使用したジェネリックシークレットの責任ある検出」を参照してください。

Note

コパイロット シークレット スキャン の ジェネリックシークレットの検出 を使用するには、GitHub Copilot のサブスクリプションは必要ありません。 コパイロット シークレット スキャン 機能は、GitHub Advanced Security が有効になっている GitHub Enterprise Cloud 企業のプライベート リポジトリで使用できます。

secret scanning がコミットをブロックするときに開発者にコンテキストを提供するために、コミットがブロックされた理由の詳細を示すリンクを表示できます。 リンクを含めるには、コミットがブロックされたときに CLI と Web UI で [リソース リンクの追加] を選択します。 テキスト ボックスに目的のリソースへのリンクを入力し、[保存] をクリックします。

カスタム パターンの定義

正規表現を使用して、secret scanning のカスタム パターンを定義できます。 カスタム パターンは、secret scanning でサポートされているデフォルト パターンでは検出されないシークレットを識別できます。 カスタム パターンを作成するには、[新しいパターン] をクリックし、パターンの詳細を入力し、[保存してドライ ラン] をクリックします。 カスタム パターンの詳細については、「シークレット スキャンのカスタム パターンの定義」を参照してください。

組織のセキュリティマネージャーの作成

セキュリティ マネージャーロールは、組織全体のセキュリティ設定とアラートを管理する機能を組織のメンバーに付与します。 チームのすべてのメンバーにセキュリティ マネージャーの役割を付与するには、[チームの検索] テキスト ボックスに目的のチームの名前を入力します。 表示されるドロップダウン メニューでチームをクリックし、[理解しました] をクリックしてセキュリティ マネージャーのアクセス許可を付与します

セキュリティ マネージャーは、セキュリティの概要を通じて、組織内のすべてのリポジトリのデータを表示できます。 セキュリティ マネージャーロールの詳細については、「Organizationでのセキュリティマネージャーの管理」を参照してください。