Organizationの保護

Organizationをセキュアに保つために、いくつものGitHubの機能が利用できます。

Organization owners can configure organization security settings.

はじめに

このガイドは、Organizationでのセキュリティ機能の設定方法を紹介します。 Organizationのセキュリティの要件は固有のものであり、すべてのセキュリティの機能を有効化する必要はないかもしれません。 詳しい情報については「GitHubのセキュリティ機能」を参照してください。

セキュリティの機能の中には、Advanced Securityライセンスを持っているOrganizationが所有するプライベートリポジトリとパブリックリポジトリでのみ利用できるものがあります。 詳しい情報については、「GitHub Advanced Security について」を参照してください。

Organizationへのアクセス管理

権限レベルを使って、人々がOrganizationに対して行えるアクションを制御できます。 詳しい情報については、「Organization の権限レベル」を参照してください。

デフォルトのセキュリティポリシーの作成

独自のセキュリティポリシーを持たないOrganization内のパブリックリポジトリで表示される、デフォルトのセキュリティポリシーを作成できます。 詳しい情報については「デフォルトのコミュニティ健全性ファイルを作成する」を参照してください。

Dependabotアラート及び依存関係グラフの管理

デフォルトで、GitHubはパブリックリポジトリ内の脆弱性を検出し、Dependabotアラート及び依存関係グラフを生成します。 Dependabotアラートと依存関係グラフは、Organizationが所有するすべてのリポジトリで有効化あるいは無効化できます。

  1. 自分のプロフィール写真をクリックし、続いて Organizationsをクリックしてください。
  2. Organizationの隣の Settings(設定)をクリックしてください。
  3. Security & analysis(セキュリティと分析)をクリックしてください。
  4. 管理したい機能の隣のEnable all(すべてを有効化)あるいはDisable all(すべてを無効化をクリックしてください。
  5. あるいはAutomatically enable for new repositories(自動的に新しいリポジトリで有効化を選択してください。

詳しい情報については「脆弱な依存関係に対するアラートについて」、「リポジトリの依存関係の調査」、「Organizationのセキュリティと分析設定の管理」を参照してください。

依存関係レビューの管理

依存関係レビューを使うと、Pull Requestがリポジトリにマージされる前に、Pull Request内での依存関係の変化を可視化できます。 依存関係レビューは、すべてのパブリックリポジトリと、依存関係グラフが有効化されたAdvanced Securityライセンスを持つOrganizationが所有するリポジトリで利用できます。 詳しい情報については「依存関係レビューについて」を参照してください。

Dependabotセキュリティアップデートの管理

Dependabotアラートを使用するリポジトリでは、Dependabotセキュリティアップデートを有効化して脆弱性が検出された際にセキュリティ更新でPull Requestを発行させることができます。 Organization全体で、すべてのリポジトリでDependabotセキュリティアップデートを有効化あるいは無効化することもできます。

  1. 自分のプロフィール写真をクリックし、続いて Organizationsをクリックしてください。
  2. Organizationの隣の Settings(設定)をクリックしてください。
  3. Security & analysis(セキュリティと分析)をクリックしてください。
  4. Dependabotセキュリティアップデートの隣のEnable all(すべてを有効化)あるいはDisable all(すべてを無効化)をクリックしてください。
  5. あるいはAutomatically enable for new repositories(自動的に新しいリポジトリで有効化を選択してください。

詳しい情報については「Dependabotセキュリティアップデートについて」及び「Organizationのセキュリティ及び分析設定の管理」を参照してください。

Dependabotバージョンアップデートの管理

Dependabotを有効化して、依存関係を最新の状態に保つためのPull Requestを自動的に発行するようにできます。 詳しい情報については「Dependabotバージョンアップデートについて」を参照してください。

Dependabotバージョンアップデートを有効化するには、設定ファイルのdependabot.ymlを作成しなければなりません。 詳しい情報については「バージョンアップデートの有効化と無効化」を参照してください。

GitHub Advanced Securityの管理

OrganizationがAdvanced Securityのライセンスを持っているなら、Advanced Securityの機能を有効化あるいは無効化できます。

  1. 自分のプロフィール写真をクリックし、続いて Organizationsをクリックしてください。
  2. Organizationの隣の Settings(設定)をクリックしてください。
  3. Security & analysis(セキュリティと分析)をクリックしてください。
  4. GitHub Advanced Securityの隣のEnable all(すべてを有効化)あるいはDisable all(すべてを無効化)をクリックしてください。
  5. あるいはAutomatically enable for new private repositories(自動的に新しいプライベートリポジトリで有効化を選択してください。

詳しい情報については「GitHub Advanced Securityについて」及び「Organizationのセキュリティ及び分析設定の管理」を参照してください。

secret scanningの設定

Secret scanningは、Advanced Securityのライセンスを持つOrganizationが所有するプライベートリポジトリと、すべてのパブリックリポジトリで利用できます。

Advanced Securityが有効化されているOrganizationのすべてのリポジトリで、secret scanningを有効化あるいは無効化できます。

  1. 自分のプロフィール写真をクリックし、続いて Organizationsをクリックしてください。
  2. Organizationの隣の Settings(設定)をクリックしてください。
  3. Security & analysis(セキュリティと分析)をクリックしてください。
  4. Secret scanningの隣のEnable all(すべてを有効化)あるいはDisable all(すべてを無効化)をクリックしてください(GitHub Advanced Securityリポジトリのみ)。
  5. あるいはAutomatically enable for private repositories added to Advanced Securityを選択してください。

詳しい情報については「Organizatonのためのセキュリティ及び分析設定の管理」を参照してください。

次のステップ

You can view, filter, and sort security alerts for repositories owned by your organization in the security overview. For more information, see "About the security overview."

セキュリティの機能からのアラートを表示及び管理して、コード中の依存関係と脆弱性に対処できます。 詳しい情報については「リポジトリ中の脆弱な依存関係の表示と更新」、「依存関係の更新のためのPull Requestの管理」、「リポジトリのcode scanningの管理」、「secret scanningからのアラートの管理」を参照してください。

セキュリティの脆弱性があるなら、セキュリティアドバイザリを作成して非公開で議論し、脆弱性を修正できます。 詳しい情報については「GitHub Security Advisoriesについて」及び「セキュリティアドバイザリの作成」を参照してください。

このドキュメントは役立ちましたか?

プライバシーポリシー

これらのドキュメントを素晴らしいものにするのを手伝ってください!

GitHubのすべてのドキュメントはオープンソースです。間違っていたり、はっきりしないところがありましたか?Pull Requestをお送りください。

コントリビューションを行う

OR, コントリビューションの方法を学んでください。

問題がまだ解決していませんか?