組織のセキュリティおよび分析設定を管理する

セキュリティおよび分析設定の管理について

GitHub は、組織のリポジトリを保護するのに役立つ場合があります。 組織でメンバーが作成する既存または新規のリポジトリすべてについて、セキュリティおよび分析機能を管理できます。 GitHub Advanced Securityのライセンス付きでGitHub Enterprise Cloudを使用する組織は、それらの機能へのアクセスも管理できます。 詳細については、GitHub Enterprise Cloud ドキュメントを参照してください。

組織内のリポジトリに適用できるセキュリティ有効化設定のコレクションである GitHub-recommended security configuration を使用すると、大規模なセキュリティ機能をすばやく有効にできます。 その後、global settings を使用して、さらに組織レベルで GitHub Advanced Security 機能をカスタマイズできます。 「[AUTOTITLE](/code-security/securing-your-organization/introduction-to-securing-your-organization-at-scale/about-enabling-security-features-at-scale)」をご覧ください。

セキュリティ機能と分析機能を有効にした場合、GitHub はリポジトリで読み取り専用分析を実行します。

Dependabot がプライベート 依存関係にアクセスできるようにする

Dependabot は、プロジェクト内の古い依存関係参照をチェックし、それらを更新するためのプルリクエストを自動的に生成できます。 これを行うには、Dependabot がすべてのターゲット依存関係ファイルにアクセスできる必要があります。 通常、1 つ以上の依存関係にアクセスできない場合、バージョン更新は失敗します。 詳しくは、「GitHub Dependabot のバージョンアップデートについて」を参照してください。

既定では、Dependabot は、プライベート リポジトリ、またはプライベート パッケージ レジストリにある依存関係を更新できません。 ただし、依存関係が、その依存関係を使用するプロジェクトと同じ組織内のプライベート GitHub リポジトリにある場合は、ホストリポジトリへのアクセスを許可することで、Dependabot がバージョンを正常に更新できるようにすることができます。

コードがプライベート レジストリ内のパッケージに依存している場合は、リポジトリレベルでこれを設定することにより、Dependabot がこれらの依存関係のバージョンを更新できるようにすることができます。 これを行うには、リポジトリの dependabot.yml ファイルに認証の詳細を追加します。 詳しくは、「dependabot.yml ファイルの構成オプション」を参照してください。

プライベート 依存関係に Dependabot アクセスを許可する方法の詳細については、「組織のグローバル セキュリティ設定の構成」を参照してください。

組織内の個々のリポジトリから GitHub Advanced Security へのアクセスを削除する

security configurations を使用して、organization 内の個々のリポジトリから GitHub Advanced Security へのアクセスを削除できます。 詳しくは、「GitHub Advanced Security ライセンスの使用を管理する」を参照してください。

参考資料

• リポジトリを保護するためのクイック スタート
• 依存関係グラフについて
• 「サプライ チェーンのセキュリティについて」