リポジトリのセキュリティと分析設定を管理する

リポジトリのセキュリティと分析設定について

          GitHub には、リポジトリが脆弱性、未承認のアクセス、およびその他の潜在的なセキュリティ脅威からコードを保護するために有効にできるさまざまなセキュリティ機能が用意されています。 
          これらの機能の多くは、 **パブリック リポジトリで無料で**利用できます。

パブリックリポジトリのセキュリティおよび分析機能を有効または無効にする

パブリックリポジトリのセキュリティおよび分析機能の、サブセットを管理できます。

パブリック リポジトリでは、少なくとも以下を有効にするようにします。

---

          Dependabot alerts
          ** は、影響を受ける依存関係をより安全なバージョンに更新できるように、プロジェクトの依存関係ネットワークのセキュリティの脆弱性を通知します。

---

          Secret scanning
          ** は、リポジトリでシークレット (API キーやトークンなど) をスキャンし、シークレットが見つかった場合にアラートを送信して、リポジトリからシークレットを削除できるようにします。

• プッシュ保護を使うと、サポートされているシークレットを含むプッシュは禁止されるので、まず自分 (と共同編集者) がリポジトリにシークレットを持ち込むことを防ぐことができます。

---

          Code scanning
          ** はリポジトリのコード内の脆弱性とエラーを識別します。これにより、これらの問題を早期に修正し、悪意のあるアクターによって脆弱性やエラーが悪用されるのを防ぐことができます。

パブリック リポジトリでは、他の機能が永続的に有効になっています。たとえば、依存関係グラフの場合、リポジトリが依存するすべてのライブラリとパッケージが表示されます。

1. GitHub で、リポジトリのメイン ページに移動します。

2. リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

   

3. サイドバーの [Security] セクションで、[ Advanced Security] をクリックします。

4. [Advanced Security] で、機能の右側にある [ 無効] または [有効] をクリックします。

プライベート リポジトリのセキュリティ機能と分析機能 の有効化または無効化

          プライベートまたは内部のリポジトリに対するセキュリティ機能および分析機能を管理できます。 企業または組織に GitHub Code Security または GitHub Secret Protectionのライセンスがある場合は、追加のオプションを使用できます。 詳しくは、「[AUTOTITLE](/get-started/learning-about-github/about-github-advanced-security)」をご覧ください。

セキュリティ機能と分析機能を有効にした場合、GitHub はリポジトリで読み取り専用分析を実行します。

1. GitHub で、リポジトリのメイン ページに移動します。

2. リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

   

3. サイドバーの [Security] セクションで、[ Advanced Security] をクリックします。

4. [Advanced Security] で、機能の右側にある [ 無効] または [有効] をクリックします。 Secret Protection and Code Securityに使用可能なライセンスがない場合、"企業" のコントロールは無効になります。

   メモ

          Secret Protection and Code Securityを無効にすると、依存関係の確認、ユーザーのシークレット スキャン アラート、code scanningが無効になります。 
   

          code scanningのワークフロー、SARIF アップロード、または API 呼び出しは失敗します。 
          Code Securityが再度有効になっている場合、code scanningは以前の状態に戻ります。
   

セキュリティ アラートへのアクセス権の付与

          GitHub セキュリティ アラートは、リポジトリの依存関係またはコードに脆弱性が見つかった場合に通知する自動通知です。 このような issue をレビューして修復するように求められるので、プロジェクトの安全性を維持するのに役立ちます。

          Dependabot、Secret scanning、Code scanningのセキュリティ アラートは、リポジトリの [**<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality**] タブで確認できます。

リポジトリのセキュリティ アラートは、リポジトリへの書き込み、保持、管理アクセス権を持つユーザー、および組織所有のリポジトリである場合は組織の所有者に表示されます。 追加の Team とユーザーにアラートへのアクセスを付与することができます。

1. GitHub で、リポジトリのメイン ページに移動します。

2. リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

   

3. サイドバーの [Security] セクションで、[ Advanced Security] をクリックします。

4. [アラートへのアクセス] の検索フィールドで、探したいユーザーまたはチーム名を入力し始め、一致する名前をリストからクリックします。

5. [ 変更の保存] をクリックします。

セキュリティアラートへのアクセスを削除する

1. GitHub で、リポジトリのメイン ページに移動します。

2. リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

   

3. サイドバーの [Security] セクションで、[ Advanced Security] をクリックします。

4. [アラートへのアクセス] で、アクセス権を削除するユーザーまたはチームの右側にある [ ] をクリックします。

   

5. [ 変更の保存] をクリックします。

参考資料

• リポジトリを保護するためのクイック スタート
• 組織のセキュリティおよび分析設定を管理する