エンタープライズに対して GitHub Advanced Security を有効にする

GitHub Advanced Security を有効にする方法について

GitHub Advanced Security の機能は、開発者がコードのセキュリティと品質を高め、維持するのに役立ちます。 詳しくは、「GitHub Advanced Security について」をご覧ください。

エンタープライズに GitHub Advanced Security を有効にすると、アクセスを制限するポリシーを設定しない限り、すべての組織のリポジトリ管理者が機能を有効にできます。 「エンタープライズのコード セキュリティと分析のためのポリシーの適用」を参照してください。

API を使って GitHub Advanced Security の機能を有効または無効にすることもできます。 詳細については、REST API ドキュメントの「シークレット スキャン用の REST API エンドポイント」を参照してください。

GitHub Advanced Security の段階的配置のガイダンスについては、「大規模な GitHub Advanced Security の導入の概要」を参照してください。

ライセンスに Advanced Security が含まれているかどうかを確認する

1. GitHub Enterprise Server の右上隅にあるプロフィール画像をクリックしてから、[Enterprise settings] をクリックします。1. ページの左側にある Enterprise アカウント サイドバーで、[ Settings] をクリックします。1. [ Settings] で、[License] をクリックします。
2. お使いのライセンスに GitHub Advanced Security が含まれている場合、ライセンス ページには現在の使用状況を詳しく示すセクションが含まれます。

Advanced Security

を有効にするための前提条件

1. GitHub Enterprise を含めるには、Advanced Security ライセンスをアップグレードします。 ライセンスの詳細については、「GitHub Advanced Security ライセンス請求」をご覧ください。

2. 次に、新しいライセンス ファイルをダウンロードします。 「GitHub Enterprise のライセンスのダウンロード」を参照してください。

3. 新しいライセンス ファイルを GitHub Enterprise Server にアップロードします。 「GitHub Enterprise Server への新しいライセンスのアップロード」を参照してください。

4. 有効にする機能の前提条件を確認します。

   • Code scanning、「アプライアンス用コードスキャンの構成」をご覧ください。
   • Secret scanning については、「アプライアンスのシークレットスキャンを設定する」を参照してください。
   • Dependabot については、「エンタープライズ向けの Dependabot の有効化」を参照してください。

Advanced Security 機能の有効化と無効化

1. GitHub Enterprise Server の管理アカウントから、任意のページの右上隅にある をクリックします。

2. [サイト管理者] ページにまだ表示されていない場合は、左上隅の [サイト管理者] をクリックします。1. [ Site admin] サイドバーで、[[Management Console]] をクリックします。1. [設定] サイドバーで [セキュリティ] をクリックします。

3. [セキュリティ] で、有効にする機能を選び、無効にする機能は選択を解除してください。

4. [設定] サイドバーで [設定の保存] をクリックします。

   メモ

   [Management Console] で設定を保存すると、システム サービスが再起動され、ユーザーにわかるダウンタイムが発生する可能性があります。

5. 設定の実行が完了するのを待ってください。

GitHub Enterprise Server の再起動が終了したら、新しく有効になった機能に必要な追加リソースを設定する準備は完了です。 「アプライアンス用コードスキャンの構成」を参照してください。

管理シェル (SSH) を介した Advanced Security の有効化または無効化

GitHub Enterprise Server に対しプログラムで機能を有効または無効にすることができます。 GitHub Enterprise Server の管理シェルおよびコマンドライン ユーティリティの詳細については、「管理シェル (SSH) にアクセスする」および「コマンド ライン ユーティリティ」を参照してください。

たとえば、ステージングまたはディザスター リカバリーのためにインスタンスをデプロイする場合は、コードとしてのインフラストラクチャ ツールを使用して、Advanced Security 機能を有効にすることができます。

1. お使いの GitHub Enterprise Server インスタンス に SSH で接続します。 インスタンスが複数のノードで構成されている場合は (高可用性や geo レプリケーションが構成されている場合など)、プライマリ ノードに SSH 接続します。 クラスターを使用する場合は、任意のノードに SSH 接続できます。 HOSTNAME をインスタンスのホスト名、またはノードのホスト名または IP アドレスに置き換えます。 詳しくは、「管理シェル (SSH) にアクセスする」をご覧ください。

   Shell

   ssh -p 122 admin@HOSTNAME
   

2. Advanced Security の機能を有効にします。

   • code scanning を有効にするには、次のコマンドを入力します。

     Shell

     ghe-config app.minio.enabled true
     ghe-config app.code-scanning.enabled true
     

   • secret scanning を無効にするには、次のコマンドを入力します。

     Shell

     ghe-config app.secret-scanning.enabled true
     

   • 依存関係グラフを有効にするには、次のコマンドを入力します。

     Shell

     ghe-config app.dependency-graph.enabled true
     

3. 必要に応じて、Advanced Security の機能を有効にします。

   • code scanning を無効にするには、次のコマンドを入力します。

     Shell

     ghe-config app.code-scanning.enabled false
     

     • 必要に応じて、code scanning を無効にした場合、Advanced Security の内部 MinIO サービスを無効にすることもできます。 インスタンスに対して Dependabot updates が有効になっていて、このサービスを無効にする場合は、Dependabot updates も無効にする必要があります。 サービスを無効にしても、GitHub Actions または GitHub Packages の MinIO ストレージには影響しません。 Dependabot updates について詳しくは、「エンタープライズ向けの Dependabot の有効化」をご覧ください。

       • Dependabot updates を無効にするには、次のコマンドを入力します。

         Shell

         ghe-config app.dependabot.enabled false
         

       • MinIO を無効にするには、次のコマンドを入力します。

         Shell

         ghe-config app.minio.enabled false
         

   • secret scanning を無効にするには、次のコマンドを入力します。

     Shell

     ghe-config app.secret-scanning.enabled false
     

   • 依存関係グラフを無効にするには、次のコマンドを入力します。

     ghe-config app.dependency-graph.enabled false
     

4. 構成を適用するには、次のコマンドを実行します。

   メモ

   構成の実行中に、お使いの GitHub Enterprise Server インスタンス 上のサービスが再起動する可能性があり、これによりユーザーに短時間のダウンタイムが発生する場合があります。

   Shell

   ghe-config-apply
   

5. 設定の実行が完了するのを待ってください。