GitHubのセキュリティ機能について
GitHubは、リポジトリ内及びOrganizationに渡ってコードとシークレットをセキュアに保つのに役立つ機能があります。 一部の機能は、すべてのリポジトリに使用できます。 その他の機能は、GitHub Advanced Security を使うエンタープライズに使用できます。 詳細については、「GitHub Advanced Security について」を参照してく� さい。
GitHub Advisory Databaseには、表示、検索、フィルタできる精選されたセキュリティ脆弱性のリストが含まれます。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」をご覧く� さい。
すべてのリポジトリで使用可能
セキュリティ ポリシー
リポジトリで見つけたセキュリティの脆弱性を、ユーザが内密に� �告しやすくします。 詳細については、「リポジトリへのセキュリティ ポリシーの追� 」を参照してく� さい。
Dependabot alerts およびセキュリティアップデート
セキュリティの脆弱性を含むことを把握している依存関係に関するアラートを表示し、プルリクエストを自動的に生成してこれらの依存関係を更新するかどうかを選択します。 詳細については、「Dependabot alerts について」と「Dependabot security updates について」を参照してく� さい。
Dependabot バージョンアップデート
Dependabotを使って、依存関係を最新に保つためのPull Requestを自動的に発行してく� さい。 これは、依存関係の古いバージョンの公開を減らすために役立ちます。 新しいバージョンを使用すると、セキュリティの脆弱性が発見された� �合にパッチの適用が容易になり、さらに脆弱性のある依存関係を更新するため Dependabot security updates がプルリクエストを発行することも容易になります。 詳細については、「Dependabot version updates について」を参照してく� さい。
依存関係グラフ
依存関係グラフを使うと、自分のリポジトリが依存しているエコシステ� やパッケージ、そして自分のリポジトリに依存しているリポジトリやパッケージを調べることができます。
依存関係グラフは、リポジトリの [分析情� �] タブにあります。 詳細については、「依存関係グラフについて」を参照してく� さい。
リポジトリのセキュリティの概要
セキュリティの概要には、リポジトリに対して有効になっているセキュリティ機能が示され、ま� 有効になっていない使用可能なセキュリティ機能を構成するオプションが表示されます。
GitHub Advanced Security で使用可能
GitHub Advanced Security 機能は、GitHub Advanced Security ライセンスを持つエンタープライズで使用できます。 機能は、組織が所有するリポジトリに制限されます。 詳細については、「GitHub Advanced Security について」を参照してく� さい。
Code scanning
新しいコードまたは変更されたコードのセキュリティの脆弱性とコーディングエラーを自動的に検出します。 潜在的な問題が強調表示され、あわせて詳細情� �も確認できるため、デフォルトのブランチにマージする前にコードを修正できます。 詳細については、「コード スキャンについて」を参照してく� さい。
リポジトリにチェックインされたトークンまたは資� �情� �を自動的に検出します。 GitHub がコード内で検出したシークレットのアラートを表示して、侵害されたトークンまたは資� �情� �を認識できます。 詳細については、「シークレット スキャンについて」を参照してく� さい。
依存関係の確認
Pull Requestをマージする前に、依存関係に対する変更の影響を詳細に示し、脆弱なバージョンがあればその詳細を確認できます。 詳細については、「依存関係レビューについて」を参照してく� さい。
Organizationチー� のセキュリティの概要
組織のセキュリティ構成とアラートを確認し、最もリスクの高いリポジトリを特定します。 詳細については、「セキュリティの概要」を参照してく� さい。