はじめに
このガイドは、Organizationでのセキュリティ機能の設定方法を紹介します。 Organizationのセキュリティの要件は固有のものであり、すべてのセキュリティの機能を有効化する必要はないかもしれません。 詳細については、「GitHub セキュリティ機能」を参照してく� さい。
一部の機能は、すべてのリポジトリに使用できます。 その他の機能は、GitHub Advanced Security を使うエンタープライズに使用できます。 詳細については、「GitHub Advanced Security について」を参照してく� さい。
Organizationへのアクセス管理
ロールを使って、個人が組織内で実行できるアクションを制御できます。 たとえば、チー� にセキュリティ マネージャー ロールを割り当てて、Organization 全体のセキュリティ設定を管理する権限と、すべてのリポジトリの読み取りアクセス権を付与できます。詳しくは、「Organization のロール」をご覧く� さい。
デフォルトのセキュリティポリシーの作成
独自のセキュリティポリシーを持たないOrganization内のパブリックリポジトリで表示される、デフォルトのセキュリティポリシーを作成できます。 詳細については、「既定のコミュニティ正常性ファイルの作成」を参照してく� さい。
Dependabot alerts及び依存関係グラフの管理
Enterprise の所有者は、エンタープライズの依存関係グラフと Dependabot alerts を構成できます。 詳細については、「エンタープライズの依存関係グラフの有効化」および「エンタープライズの Dependabot の有効化」を参照してく� さい。
詳細については、「Dependabot alerts について」、「リポジトリの依存関係の調査」、「組織のセキュリティと分析設定の管理」を参照してく� さい。
依存関係レビューの管理
依存関係レビューとは、Advanced Security の機能であり、pull request の依存関係の変更をリポジトリにマージする前に視覚化することができます。 詳細については、「依存関係レビューについて」を参照してく� さい。
依存関係のレビューは、your GitHub Enterprise Server instance の依存関係グラフが有効にされていて、ユーザーが Organization の Advanced Security を有効にした� �合に、使用できます (下記を参照してく� さい)。
Dependabot security updatesの管理
Dependabot alertsを使用するリポジトリでは、Dependabot security updatesを有効化して脆弱性が検出された際にセキュリティ更新でPull Requestを発行させることができます。 Organization全体で、すべてのリポジトリでDependabot security updatesを有効化あるいは無効化することもできます。
- プロファイル画像をクリックし、 [Organizations](組織) をクリックします。
- 組織の横にある [Settings](設定) をクリックします。
- [セキュリティと分析] をクリックします。
- Dependabot security updates の横にある [Enable all](すべて有効にする) または [Disable all](すべて無効にする) をクリックします。
- 必要に応じて、 [Automatically enable for new repositories](新しいリポジトリに対して自動的に有効にする) を選びます。
詳細については、「Dependabot security updates について」と「組織のセキュリティと分析設定の管理」を参照してく� さい。
Dependabot version updatesの管理
Dependabotを有効化して、依存関係を最新の状態に保つためのPull Requestを自動的に発行するようにできます。 詳細については、「Dependabot version updates について」を参照してく� さい。
Dependabot version updates を有効にするには、dependabot.yml 構成ファイルを作成する必要があります。 詳細については、「Dependabot バージョンの更新の構成」を参照してく� さい。
GitHub Advanced Securityの管理
Advanced Security ライセンスを持つエンタープライズである� �合、Advanced Security 機能を有効または無効にすることができます。
- プロファイル画像をクリックし、 [Organizations](組織) をクリックします。
- 組織の横にある [Settings](設定) をクリックします。
- [セキュリティと分析] をクリックします。
- GitHub Advanced Security の横にある [Enable all](すべて有効にする) または [Disable all](すべて無効にする) をクリックします。
- 必要に応じて、 [Automatically enable for new private repositories](新しいプライベート リポジトリに対して自動的に有効にする) を選びます。
詳細については、「GitHub Advanced Security について」と「組織のセキュリティと分析設定の管理」を参照してく� さい。
secret scanningの設定
Secret scanning は、安全に� �納されていないシークレットのリポジトリをスキャンする Advanced Security の機能です。
エンタープライズが Advanced Security を使っている� �合、Secret scanning を使用できます。
Advanced Securityが有効である組織のすべてのリポジトリに対して、secret scanning を有効または無効にすることができます。
- プロファイル画像をクリックし、 [Organizations](組織) をクリックします。
- 組織の横にある [Settings](設定) をクリックします。
- [セキュリティと分析] をクリックします。
- Secret scanning の横にある [Enable all](すべて有効にする) または [Disable all](すべて無効にする) をクリックします (GitHub Advanced Security リポジトリのみ)。
- 必要に応じて、 [Automatically enable for private repositories added to Advanced Security](Advanced Security に追� されたプライベート リポジトリに対して自動的に有効にする) を選びます。
詳細については、「Managing security and analysis settings for your organization (組織のセキュリティと分析の設定を管理する)」を参照してく� さい。
code scanning の構成
Code scanning は、コードでセキュリティの脆弱性とエラーをスキャンする Advanced Security の機能です。
Code scanning は、エンタープライズが Advanced Security を使っている� �合に使用できます。
Code scanning はリポジトリ レベルで構成されます。 詳細については、「リポジトリの code scanning の設定」を参照してく� さい。
次の手� �
セキュリティの機能からのアラートを表示及び管理して、コード中の依存関係と脆弱性に対処できます。 詳しくは、「Dependabot alerts の表示と更新」、「依存関係の更新に関する Pull Request を管理する」、「リポジトリの code scanning を管理する」、「secret scanning からのアラートを管理する」をご覧く� さい。
ユーザーは、セキュリティの概要で自分の Organization が所有するリポジトリのセキュリティ アラートの表示、フィルター処理、並べ替えを行うことができます。 詳しくは、「セキュリティの概要について」