custom security configurations
の概要
custom security configurationsを使用すると、GitHubのセキュリティ製品の有効化設定のコレクションを作成して、企業の特定のセキュリティ ニーズを満たすことができます。 たとえば、組織または組織のグループごとに異なる custom security configuration を作成して、固有のセキュリティ要件とコンプライアンスの義務を反映させることができます。
GitHub Code Security機能とGitHub Secret Protection機能のどちらを構成に含めるかを選択することもできます。
その場合は、プライベート リポジトリと内部リポジトリに適用すると、これらの機能によって使用コストが発生する (または GitHub Advanced Security ライセンスが必要) ことに注意してください。 詳しくは、「GitHub Advanced Security について」をご覧ください。
セキュリティ構成を作成するときは、次の点に注意してください。
-
GitHub Enterprise Server インスタンスにサイト管理者によってインストールされた機能のみが UI に表示されます。
-
GitHub Advanced Security 機能は、エンタープライズインスタンスまたは GitHub Enterprise Server インスタンスが GitHub Advanced Security、 GitHub Code Security、または GitHub Secret Protection ライセンスを保持している場合にのみ表示されます。
-
Dependabot security updatesや既定のセットアップcode scanningなどの特定の機能では、GitHub ActionsがGitHub Enterprise Server インスタンスにインストールされている必要もあります。
>[!IMPORTANT] > 一部の設定の順序と名前は、お使いのライセンスが、元の GitHub Advanced Security 製品用のものか、それとも GitHub Code Security と GitHub Secret Protection の 2 つの新しい製品用のものかによって異なります。 [ GitHub Advanced Security構成の作成](#creating-a-github-advanced-security-configuration)または[Secret Protection and Code Security構成の作成を](#creating-a-secret-protection-and-code-security-configuration)参照してください。
Secret Protection and Code Security構成の作成
- GitHub Enterprise Server の右上隅にあるプロフィール画像をクリックしてから、[Enterprise settings] をクリックします。
- ページの上部にある [ Settings] をクリックします。
- 左側のサイドバーで、 [Advanced Security] をクリックします。
- [Security configurations] セクションで、[ 新しい構成] をクリックします。
-
custom security configurationを特定し、[Security configurations] ページでその目的を明確にするには、構成に名前を付けて説明を作成します。 - 必要に応じて、プライベート Secret Protectionと内部" を有効にします。
Secret Protectionを有効にすると、secret scanningのアラートが有効になります。 さらに、次の secret scanning 機能の既存の設定を有効、無効、または保持するかどうかを選択できます。
- プロバイダー以外のパターン。 プロバイダー以外のパターンのスキャンの詳細については、 サポートされているシークレット スキャン パターン と シークレット スキャンからのアラートの表示とフィルター処理 を参照してください。
- プッシュ保護。 プッシュ保護の詳細については、 プッシュ保護について を参照してください。
- 直接アラートの解除防止。 詳細については、 シークレット スキャンの委任アラート無視を有効にする を参照してください。
- 必要に応じて、プライベート Code Securityと内部" を有効にします。 次の code scanning 機能の既存の設定を有効、無効、または保持するかどうかを選択できます。
- 既定の設定。 既定のセットアップについて詳しくは、「コード スキャンの既定セットアップの構成」をご覧ください。
メモ
code scanning の現在のセットアップに関係なく、すべてのリポジトリに適用できる構成を作成するには、[Enabled with advanced setup allowed] を選びます。 この設定では、既定のセットアップは CodeQL 分析がアクティブに実行されていないリポジトリでのみ有効になります。 GitHub Enterprise Server 3.19 以降で利用できるオプション。__
- ランナーの種類。 code scanningの特定のランナーをターゲットにする場合は、この手順でカスタム ラベル付きのランナーを使用できます。 「AUTOTITLE」を参照してください。 * 直接アラートの解除防止。 詳細については、 コード スキャンに対して委任アラート無視を有効にする を参照してください。
-
[Code Security] の下の [依存関係スキャン] テーブルで、次の依存関係スキャン機能の既存の設定を有効、無効、または保持するかどうかを選択します。
- 依存関係グラフ 依存関係グラフの詳細については、「依存関係グラフについて」を参照してください。
ヒント
"Code Security" と依存関係グラフの両方が有効になっている場合は、依存関係の確認が有効になります。 依存関係の確認について を参照してください。
- アラートDependabot。 Dependabotの詳細については、「AUTOTITLE」を参照してください。
- セキュリティ更新プログラム。 セキュリティ更新プログラムの詳細については、 Dependabot のセキュリティ アップデート を参照してください。
- 依存関係グラフ 依存関係グラフの詳細については、「依存関係グラフについて」を参照してください。
-
必要に応じて、[Policy] セクションで、追加のオプションを使用して、構成の適用方法を制御できます。
- 新しく作成されたリポジトリの既定値として使用します。 [ なし ドロップダウン メニューを選択し、[ パブリック]、[ プライベート]、[内部]、[ すべてのリポジトリ] の順にクリックします。
メモ
Organization での既定の security configuration は、organization で作成された新しいリポジトリにのみ自動的に適用されます。 リポジトリが組織に転送された場合でも、リポジトリに対し適切な security configuration を手動で適用する必要があります。
-
構成を強制します。 リポジトリ所有者は、構成によって有効または無効になっている機能を変更できなくなります (設定されていない機能は適用されません)。 ドロップダウン メニューから [Enforce] を選択します。
メモ
状況によっては、security configurationsの実施が妨げられることがあります。 「セキュリティ構成の適用」を参照してください。
-
custom security configurationの作成を完了するには、[**構成の保存]** をクリックします。
GitHub Advanced Security構成の作成
- GitHub Enterprise Server の右上隅にあるプロフィール画像をクリックしてから、[Enterprise settings] をクリックします。
- ページの上部にある [ Settings] をクリックします。
- 左側のサイドバーで、 [Advanced Security] をクリックします。
- 上部のセクションにある [New configuration] をクリックします。
-
custom security configurationを特定し、[新しい構成] ページでその目的を明確にするには、構成に名前を付けて説明を作成します。 - [GitHub Advanced Security 機能] 行で、 GitHub Advanced Security (GHAS) 機能を含めるか除外するかを選択します。
- [Secret scanning] テーブルで、次のセキュリティ機能の既存の設定を有効、無効、または保持するかどうかを選択します。
- アラート。 シークレット スキャンニング アラートの詳細については、「AUTOTITLE」を参照してください。
- プロバイダー以外のパターン。 プロバイダー以外のパターンのスキャンの詳細については、 サポートされているシークレット スキャン パターン と シークレット スキャンからのアラートの表示とフィルター処理 を参照してください。
- プッシュ保護。 プッシュ保護の詳細については、 プッシュ保護について を参照してください。
- 直接アラートの解除防止。 詳細については、 シークレット スキャンの委任アラート無視を有効にする を参照してください。
- [Code scanning] テーブルで、既定のセットアップに対して既存の設定 code scanning 有効、無効、または保持するかどうかを選択します。
- 既定の設定。 詳細については、「コード スキャンの既定セットアップの構成」を参照してください。
メモ
code scanning の現在のセットアップに関係なく、すべてのリポジトリに適用できる構成を作成するには、[Enabled with advanced setup allowed] を選びます。 この設定では、既定のセットアップは CodeQL 分析がアクティブに実行されていないリポジトリでのみ有効になります。 GitHub Enterprise Server 3.19 以降で利用できるオプション。__
- ランナーの種類。 code scanningの特定のランナーをターゲットにする場合は、この手順でカスタム ラベル付きのランナーを使用できます。 「AUTOTITLE」を参照してください。 * 直接アラートの解除防止。 詳細については、 コード スキャンに対して委任アラート無視を有効にする を参照してください。
-
[Dependency scanning] テーブルで、次の依存関係スキャン機能の既存の設定を有効にする、無効にする、または保持することを選びます。
- 依存関係グラフ 依存関係グラフの詳細については、「依存関係グラフについて」を参照してください。
ヒント
"GitHub Advanced Security" と依存関係グラフの両方が有効になっている場合は、依存関係の確認が有効になります。 依存関係の確認について を参照してください。
- アラートDependabot。 Dependabotの詳細については、「AUTOTITLE」を参照してください。
- セキュリティ更新プログラム。 セキュリティ更新プログラムの詳細については、 Dependabot のセキュリティ アップデート を参照してください。
- 依存関係グラフ 依存関係グラフの詳細については、「依存関係グラフについて」を参照してください。
-
必要に応じて、[Policy] セクションで、追加のオプションを使用して、構成の適用方法を制御できます。
- 新しく作成されたリポジトリの既定値として使用します。 [ なし ドロップダウン メニューを選択し、[ パブリック]、[ プライベート]、[内部]、[ すべてのリポジトリ] の順にクリックします。
メモ
Organization での既定の security configuration は、organization で作成された新しいリポジトリにのみ自動的に適用されます。 リポジトリが組織に転送された場合でも、リポジトリに対し適切な security configuration を手動で適用する必要があります。
-
構成を強制します。 リポジトリ所有者は、構成によって有効または無効になっている機能を変更できなくなります (設定されていない機能は適用されません)。 ドロップダウン メニューから [Enforce] を選択します。
メモ
状況によっては、security configurationsの実施が妨げられることがあります。 「セキュリティ構成の適用」を参照してください。
-
custom security configurationの作成を完了するには、[**構成の保存]** をクリックします。
次のステップ
必要に応じて、エンタープライズの追加の secret scanning 設定を構成するには、 エンタープライズ用に追加のシークレット スキャン設定を設定する を参照してください。
組織内のリポジトリに custom security configuration を適用するには、 カスタム セキュリティ構成の適用 を参照してください。
custom security configuration の編集方法については、「カスタム セキュリティ構成の編集」を参照してください。