Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

GitHub セキュリティ機能

GitHubのセキュリティ機能の概要。

GitHubのセキュリティ機能について

GitHubは、リポジトリ内及びOrganizationに渡ってコードとシークレットをセキュアに保つのに役立つ機能があります。 一部の機能は、すべてのプランのリポジトリに使用できます。 その他の機能は、GitHub Advanced Security を使うエンタープライズに使用できます。 GitHub Advanced Security の機能は、GitHub.com 上のすべてのパブリック リポジトリでも有効になります。 詳細については、「GitHub Advanced Security について」を参照してください。

GitHub Advisory Databaseには、表示、検索、フィルタできる精選されたセキュリティ脆弱性のリストが含まれます。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」をご覧ください。

すべてのリポジトリで使用可能

セキュリティ ポリシー

リポジトリで見つけたセキュリティの脆弱性を、ユーザが内密に報告しやすくします。 詳細については、「リポジトリへのセキュリティ ポリシーの追加」を参照してください。

セキュリティ アドバイザリ

リポジトリのコードのセキュリティの脆弱性について、非公開で議論して修正します。 その後、セキュリティアドバイザリを公開して、コミュニティに脆弱性を警告し、アップグレードするようコミュニティメンバーに促すことができます。 詳細については、「リポジトリ セキュリティ アドバイザリについて」を参照してください。

Dependabot alerts およびセキュリティアップデート

セキュリティの脆弱性を含むことを把握している依存関係に関するアラートを表示し、プルリクエストを自動的に生成してこれらの依存関係を更新するかどうかを選択します。 詳細については、「Dependabot alerts について」と「Dependabot security updates について」を参照してください。

Dependabot バージョンアップデート

Dependabotを使って、依存関係を最新に保つためのPull Requestを自動的に発行してください。 これは、依存関係の古いバージョンの公開を減らすために役立ちます。 新しいバージョンを使用すると、セキュリティの脆弱性が発見された場合にパッチの適用が容易になり、さらに脆弱性のある依存関係を更新するため Dependabot security updates がプルリクエストを発行することも容易になります。 詳細については、「Dependabot version updates について」を参照してください。

依存関係グラフ

依存関係グラフを使うと、自分のリポジトリが依存しているエコシステムやパッケージ、そして自分のリポジトリに依存しているリポジトリやパッケージを調べることができます。

依存関係グラフは、リポジトリの [分析情報] タブにあります。 詳細については、「依存関係グラフについて」を参照してください。

リポジトリのセキュリティの概要

セキュリティの概要には、リポジトリに対して有効になっているセキュリティ機能が示され、まだ有効になっていない使用可能なセキュリティ機能を構成するオプションが表示されます。

無料のパブリック リポジトリで使えます

Secret scanning alerts for partners

すべてのパブリック リポジトリで漏洩したシークレットを自動的に検出します。 GitHub は、シークレットが侵害される可能性があることを関連するサービス プロバイダーに通知します。 サポートされているシークレットとサービス プロバイダーの詳細については、「パートナー アラートでサポートされているシークレット」を参照してください。

GitHub Advanced Security で使用可能

次の GitHub Advanced Security 機能は、GitHub.com のパブリック リポジトリで無料で利用できます。 GitHub Advanced Security のライセンスを持つ GitHub Enterprise Cloud を使用する組織は、任意のリポジトリで機能の完全なセットを使用できます。 GitHub Enterprise Cloud で使用できる機能の一覧については、GitHub Enterprise Cloud のドキュメントを参照してください。

Code scanning

新しいコードまたは変更されたコードのセキュリティの脆弱性とコーディングエラーを自動的に検出します。 潜在的な問題が強調表示され、あわせて詳細情報も確認できるため、デフォルトのブランチにマージする前にコードを修正できます。 詳細については、「コード スキャンについて」を参照してください。

Secret scanning alerts for users

注: secret scanning alerts for users 機能は、GitHub Free、GitHub Pro、または GitHub Team プランのユーザー向けのベータ版として利用でき、変更される可能性があります。

無料のパブリック リポジトリに限定されています。

リポジトリにチェックインされたトークンまたは資格情報を自動的に検出します。 GitHub によってコードから検出されたシークレットのアラートは、リポジトリの [セキュリティ] タブに表示できます。これにより、侵害されているものとして扱うべきトークンまたは資格情報がわかります。 詳細については、「secret scanning alerts for users について」」を参照してください。

依存関係の確認

Pull Requestをマージする前に、依存関係に対する変更の影響を詳細に示し、脆弱なバージョンがあればその詳細を確認できます。 詳細については、「依存関係レビューについて」を参照してください。

参考資料