リポジトリのセキュリティと分析設定を管理する

GitHub 上のプロジェクトのコードをセキュリティ保護し分析する機能を管理できます。

この機能を使用できるユーザーについて

People with admin permissions to a repository can manage security and analysis settings for the repository.

この記事の内容

Note

Enterprise レベルで Dependabot alerts を有効または無効にすると、Dependabot alerts のリポジトリ レベルの設定はオーバーライドされます。 詳しくは、「Dependabot アラートの構成」をご覧ください。

リポジトリのセキュリティと分析設定について

脆弱性、不正アクセス、その他の潜在的なセキュリティ脅威からコードを保護するために、GitHub には、リポジトリで有効にできるさまざまなセキュリティ機能があります。 これらの機能の多くは、パブリック リポジトリでは無料で使用できます。

パブリックリポジトリのセキュリティおよび分析機能を有効または無効にする

パブリックリポジトリのセキュリティおよび分析機能の、サブセットを管理できます。

パブリック リポジトリでは、少なくとも以下を有効にするようにします。

  • Dependabot alerts からは、プロジェクトの依存関係ネットワーク内にあるセキュリティの脆弱性が通知されます。これにより、影響を受ける依存関係をより安全なバージョンに更新できます。
  • Secret scanning を使ってリポジトリのシークレット (API キーやトークンなど) をスキャンし、シークレットが見つかった場合はアラートを受け取ることで、リポジトリからシークレットを削除できます。
  • プッシュ保護を使うと、サポートされているシークレットを含むプッシュは禁止されるので、まず自分 (と共同編集者) がリポジトリにシークレットを持ち込むことを防ぐことができます。
  • Code scanning により、リポジトリのコードに含まれる脆弱性とエラーが特定されるので、これらの issue を早期に修正し、悪意のあるアクターによる脆弱性やエラーの悪用を防ぐことができます。

パブリック リポジトリでは、他の機能が永続的に有効になっています。たとえば、依存関係グラフの場合、リポジトリが依存するすべてのライブラリとパッケージが表示されます。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [Security] セクションで、[ Code security] をクリックします。

  4. [Code security] で、機能の右側にある [Disable] または [Enable] をクリックします。

プライベートリポジトリの

セキュリティおよび分析機能を有効または無効にする

プライベートまたは内部の リポジトリのセキュリティおよび分析機能を管理できます。 企業または組織が GitHub Advanced Securityのライセンスを持っている場合、追加のオプションが使用可能になります。 詳しくは、「GitHub Advanced Security について」をご覧ください。

セキュリティ機能と分析機能を有効にした場合、GitHub はリポジトリで読み取り専用分析を実行します。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [Security] セクションで、[ Code security] をクリックします。

  4. [Code security] で、機能の右側にある [Disable] または [Enable] をクリックします。 Enterprise に使用できる Advanced Security のライセンスがない場合、[GitHub Advanced Security] コントロールは無効です。

    Note

    GitHub Advanced Security を無効にした場合、依存関係レビュー、ユーザーに対するシークレット スキャンニング アラート、code scanning が無効になります。 あらゆるワークフロー、SARIF のアップロード、code scanning への API の呼び出しが失敗することになります。 GitHub Advanced Security が再び有効になっている場合、code scanning は以前の状態に戻ります。

セキュリティ アラートへのアクセス権の付与

GitHub のセキュリティ アラートは、リポジトリの依存関係またはコードに脆弱性が見つかったときに通知する自動通知です。 このような issue をレビューして修復するように求められるので、プロジェクトの安全性を維持するのに役立ちます。

Dependabot、Secret scanning、Code scanning のセキュリティ アラートは、リポジトリの [Security] タブで確認できます。

リポジトリのセキュリティ アラートは、リポジトリへの書き込み、保持、管理アクセス権を持つユーザー、および組織所有のリポジトリである場合は組織の所有者に表示されます。 追加の Team とユーザーにアラートへのアクセスを付与することができます。

Note

組織の所有者とリポジトリ管理者は、リポジトリへの書き込みアクセス権を持つユーザーまたはチームに対して、シークレット スキャンニング アラート アラートなどのセキュリティ アラートを表示する権限のみを付与できます。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [Security] セクションで、[ Code security] をクリックします。

  4. [Access to alerts] の検索フィールドで、検索するユーザまたは Team 名の入力を開始し、リストから一致する名前をクリックします。

  5. [変更を保存] をクリックします。

セキュリティアラートへのアクセスを削除する

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [Security] セクションで、[ Code security] をクリックします。

  4. [アラートへのアクセス] で、アクセスを削除するユーザーまたはチームの右側にある [] をクリックします。

    アラートへのアクセス権を持つユーザー一覧のスクリーンショット。 @octocat の右側にある x アイコンが濃いオレンジ色の枠線で囲まれています。

  5. [変更を保存] をクリックします。

参考資料