Code security guides

コードのセキュリティの改善をGitHubが支援する様々な方法について学んでください。

Fix and disclose a security vulnerability
Using repository security advisories to privately fix a reported vulnerability and get a CVE.
Start learning path
1
Overview
セキュリティ脆弱性の調整された開示について
脆弱性の開示は、セキュリティの報告者とリポジトリメンテナの調整された取り組みです。
2
Overview
About the GitHub Advisory database
The GitHub Advisory Database contains a list of known security vulnerabilities and malware, grouped in two categories: GitHub-reviewed advisories and unreviewed advisories.
3
Overview
グローバルセキュリティアドバイザリについて
グローバルセキュリティデータベースは GitHub Advisory Database にあります。これには、オープンソース界に影響がある CVE と GitHub が発行したセキュリティアドバイザリが含まれています。どなたでもグローバルアドバイザリの改善に貢献できます。
4
Overview
リポジトリセキュリティアドバイザリについて
リポジトリにおけるセキュリティの脆弱性について、非公開で議論、修正、および情報を共有するには、リポジトリセキュリティアドバイザリを使用できます。
5
How-to guide
リポジトリセキュリティアドバイザリを作成するためのベストプラクティス
セキュリティアドバイザリを作成または編集すると、標準形式を使用してエコシステム、パッケージ名、影響を受けるバージョンを指定する際に、あなたが提供する情報を他のユーザーが容易に理解できるようにすることができます。
6
How-to guide
Privately reporting a security vulnerability
Some public repositories configure security advisories so that anyone can report security vulnerabilities directly and privately to the maintainers.
7
How-to guide
Managing privately reported security vulnerabilities
Repository maintainers can manage security vulnerabilities that have been privately reported to them by security reseachers for repositories where private vulnerability reporting is enabled.
8
How-to guide
Configuring private vulnerability reporting for a repository
Owners and administrators of public repositories can allow security researchers to report vulnerabilities securely in the repository by enabling private vulnerability reporting.
9
How-to guide
Creating a repository security advisory
You can create a draft security advisory to privately discuss and fix a security vulnerability in your open source project.
10
How-to guide
リポジトリセキュリティアドバイザリへのコラボレータの追加
あなたと協力するセキュリティアドバイザリとして、ユーザや Team を追加できます。
11
How-to guide
一時的なプライベートフォークで、リポジトリのセキュリティ脆弱性を解決するためにコラボレートする
リポジトリにおけるセキュリティ脆弱性の修正について非公開でコラボレートするため、一時的なプライベートフォークを作成できます。
12
How-to guide
リポジトリセキュリティアドバイザリの公開
プロジェクト内のセキュリティ脆弱性についてコミュニティにアラートするため、セキュリティアドバイザリを公開できます。
13
How-to guide
リポジトリセキュリティアドバイザリの編集
詳細を更新したりエラーを修正したりする必要がある場合は、リポジトリセキュリティアドバイザリのメタデータと説明を編集できます。
14
How-to guide
リポジトリセキュリティアドバイザリの撤回
公開したリポジトリセキュリティアドバイザリを撤回できます。
15
How-to guide
リポジトリセキュリティアドバイザリからのコラボレータの削除
リポジトリセキュリティアドバイザリからコラボレーターを削除すると、そのコラボレーターはセキュリティアドバイザリのディスカッションとメタデータへの読み取りおよび書き込みアクセス権を失います。

Code security learning paths

Learning paths are a collection of guides that help you master a particular subject.

Get notifications for insecure dependencies

Set up Dependabot to alert you to new vulnerabilities or malware in your dependencies.

Start learning path

Get pull requests to update your vulnerable dependencies

Set up Dependabot to create pull requests when new vulnerabilities are reported.

Start learning path

Keep your dependencies up-to-date

Use Dependabot to check for new releases and create pull requests to update your dependencies.

Start learning path

Run code scanning with GitHub Actions

Check your default branch and every pull request to keep vulnerabilities and errors out of your repository.

Start learning path

Run CodeQL code scanning in your CI

Set up CodeQL within your existing CI and upload results to GitHub code scanning.

Start learning path

Integrate with code scanning

Upload code analysis results from third-party systems to GitHub using SARIF.

Start learning path

End-to-end supply chain

How to think about securing your user accounts, your code, and your build process.

Start learning path

All Code security guides

Filter the guide list using these controls

72 guides found

Fix and disclose a security vulnerability

セキュリティ脆弱性の調整された開示について

About the GitHub Advisory database

グローバル セキュリティ アドバイザリについて

リポジトリ セキュリティ アドバイザリについて

リポジトリ セキュリティ アドバイザリを作成するためのベスト プラクティス

Privately reporting a security vulnerability

Managing privately reported security vulnerabilities

Configuring private vulnerability reporting for a repository

Creating a repository security advisory

リポジトリ セキュリティ アドバイザリへのコラボレータの追加

一時的なプライベート フォークで、リポジトリのセキュリティ脆弱性を解決するためにコラボレートする

リポジトリ セキュリティ アドバイザリの公開

リポジトリ セキュリティ アドバイザリの編集

リポジトリ セキュリティ アドバイザリの撤回

リポジトリ セキュリティ アドバイザリからのコラボレータの削除

Dependabot アラートについて

Managing security and analysis settings for your repository

Viewing and updating Dependabot alerts

Configuring notifications for Dependabot alerts

About Dependabot security updates

Configuring Dependabot security updates

Configuring notifications for Dependabot alerts

Managing security and analysis settings for your repository

About Dependabot version updates

Configuring Dependabot version updates

Customizing dependency updates

Configuration options for the dependabot.yml file

コード スキャンについて

Setting up code scanning for a repository

Configuring code scanning

コンパイル済み言語の CodeQL ワークフローを構成する

About CodeQL code scanning in your CI system

Installing CodeQL CLI in your CI system

Configuring CodeQL CLI in your CI system

CodeQL ランナーから CodeQL CLI への移行

About integration with code scanning

SARIF ファイルを GitHub にアップロードする

Code scanningの SARIF サポート

Code Scanning

エンドツーエンドのサプライ チェーンのセキュリティ保護

Best practices for securing accounts

Best practices for securing code in your supply chain

ビルド システムをセキュリティで保護するためのベスト プラクティス

Adding a security policy to your repository

GitHub security features

Securing your organization

Securing your repository

About secret scanning

Configuring secret scanning for your repositories

Defining custom patterns for secret scanning

Managing alerts from secret scanning

Protecting pushes with secret scanning

グローバルセキュリティアドバイザリについて

リポジトリセキュリティアドバイザリについて

リポジトリセキュリティアドバイザリを作成するためのベストプラクティス

リポジトリセキュリティアドバイザリへのコラボレータの追加

一時的なプライベートフォークで、リポジトリのセキュリティ脆弱性を解決するためにコラボレートする

リポジトリセキュリティアドバイザリの公開

リポジトリセキュリティアドバイザリの編集

リポジトリセキュリティアドバイザリの撤回

リポジトリセキュリティアドバイザリからのコラボレータの削除

コードスキャンについて

エンドツーエンドのサプライチェーンのセキュリティ保護

ビルドシステムをセキュリティで保護するためのベストプラクティス