Enabling delegated alert dismissal for code scanning

You can use delegated alert dismissal to control who can dismiss an alert found by code scanning.

この機能を使用できるユーザーについて

Organization 所有者、セキュリティ マネージャー、リポジトリ管理者は、委任アラート無視を有効にすることができます。 有効にすると、organization 所有者とセキュリティ マネージャーはアラートを無視できるようになります。

この記事の内容

About enabling delegated alert dismissal

委任アラート無視を使うと、アラートを直接無視できるユーザーを制限できます。 この機能が有効になっている場合:

  • リポジトリへの書き込みアクセス権を持つユーザーは、そのリポジトリ内のアラートを無視するように要求する必要があります。
  • 組織の所有者とセキュリティ マネージャーは、無視要求を承認または拒否したり、アラートを直接無視したりできます。

また、次のアクセス許可を持つカスタム ロールを使用して、他のチーム メンバーが要求を管理したり、アラートを直接無視したりすることもできます。

  • code scanning 用: "code scanning アラート却下リクエストの確認"、"code scanning アラート却下リクエストの回避"
  • secret scanning の場合: "secret scanning アラートの無視リクエストを確認および管理する"
  • Dependabot: 「Dependabot アラートの却下リクエストをレビュー」および「Dependabot アラートの却下リクエストをバイパス」

レビュー担当者は、電子メールで無視要求の通知を受け取り、アラートを無視する要求を承認するか、アラートを開いたままにしておく要求を拒否することができます。 要求がレビューされると、要求者に電子メールで結果が通知されます。

メモ

この承認プロセスを実装すると、ある程度の摩擦が発生する可能性があるため、続行する前に、セキュリティ マネージャーのチームが、解雇要求を定期的に確認するための十分なカバレッジを確保することが重要です。

Configuring delegated dismissal for a repository

メモ

If an organization owner configures delegated alert dismissal via an enforced security configuration, the settings can't be changed at the repository level.

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [Security] セクションで、[ Advanced Security] をクリックします。

  4. Under "Code Security", click Enable for "Prevent direct alert dismissals".

Configuring delegated dismissal for an organization

You must configure delegated dismissal for your organization using a custom security configuration. You can then apply the security configuration to all (or selected) repositories in your organization.

  1. Create a new custom security configuration, or edit an existing one. See カスタム セキュリティ構成の作成.
  2. When creating the custom security configuration, under "Code scanning", set "Prevent direct alert dismissals" to Enabled.
  3. Click Save configuration.
  4. Apply the security configuration to all (or selected) repositories in your organization. See カスタム セキュリティ構成の適用.

Configuring delegated dismissal for an enterprise

You must configure delegated dismissal for your enterprise using a custom security configuration. You can then apply the security configuration to all (or selected) repositories in your enterprise.

  1. Create a new custom security configuration, or edit an existing one. See Enterprise 用のカスタム セキュリティ構成の作成.
  2. When creating the custom security configuration, under "code scanning", ensure that the dropdown menu for "Prevent direct alert dismissals" is set to Enabled.
  3. Click Save configuration.
  4. Apply the security configuration to all (or selected) repositories in your enterprise. See Enterprise に対するカスタム セキュリティ構成の適用.

To learn more about security configurations, see 大規模なセキュリティ機能の有効化について.

Next steps

Now that you have enabled delegated alert dismissal for code scanning, you should regularly review alert dismissal requests to maintain an accurate alert count and unblock your developers. See アラート却下リクエストの確認.