セキュリティおよび分析設定の管理について
GitHub は、組織のリポジトリを保護するのに役立つ場合があります。 組織でメンバーが作成する既存または新規のリポジトリすべてについて、セキュリティおよび分析機能を管理できます。
GitHub Advanced Securityのライセンスを持った企業が組織を所有している場合、セキュリティ管理および分析設定の追加オプションを利用できます。 詳しくは、「Enterprise 用の GitHub Advanced Security 機能の管理」をご覧ください。
組織内のリポジトリに適用できるセキュリティ有効化設定のコレクションである GitHub-recommended security configuration を使用すると、大規模なセキュリティ機能をすばやく有効にできます。 その後、global settings を使用して、さらに組織レベルで GitHub Advanced Security 機能をカスタマイズできます。 「大規模なセキュリティ機能の有効化について」をご覧ください。
Dependabot がプライベート または内部 依存関係にアクセスできるようにする
Dependabot は、プロジェクト内の古い依存関係参照をチェックし、それらを更新するためのプルリクエストを自動的に生成できます。 これを行うには、Dependabot がすべてのターゲット依存関係ファイルにアクセスできる必要があります。 通常、1 つ以上の依存関係にアクセスできない場合、バージョン更新は失敗します。 詳しくは、「GitHub Dependabot のバージョンアップデートについて」を参照してください。
既定では、Dependabot は、プライベート または内部 リポジトリ、またはプライベート または内部 パッケージ レジストリにある依存関係を更新できません。 ただし、依存関係が、その依存関係を使用するプロジェクトと同じ組織内のプライベート または内部の GitHub リポジトリにある場合は、ホストリポジトリへのアクセスを許可することで、Dependabot がバージョンを正常に更新できるようにすることができます。
コードがプライベート または内部の レジストリ内のパッケージに依存している場合は、リポジトリレベルでこれを設定することにより、Dependabot がこれらの依存関係のバージョンを更新できるようにすることができます。 これを行うには、リポジトリの dependabot.yml ファイルに認証の詳細を追加します。 詳しくは、「dependabot.yml ファイルの構成オプション」を参照してください。
プライベート または内部 依存関係に Dependabot アクセスを許可する方法の詳細については、「組織のグローバル セキュリティ設定の構成」を参照してください。
組織内の個々のリポジトリから GitHub Advanced Security へのアクセスを削除する
security configurations を使用して、organization 内の個々のリポジトリから GitHub Advanced Security へのアクセスを削除できます。 詳しくは、「GitHub Advanced Security ライセンスの使用を管理する」を参照してください。