GitHub-recommended security configuration について
GitHub-recommended security configuration は、GitHub の対象分野の専門家によって作成および維持される、GitHub のセキュリティ機能の有効化設定のコレクションです。 GitHub-recommended security configuration は、影響の低いリポジトリと影響の大きいリポジトリのセキュリティ リスクを正常に軽減するように設計されています。 この構成は、組織内のすべてのリポジトリに適用することをお勧めします。
GitHub-recommended security configuration を組織内のすべてのリポジトリに適用する
-
GitHub の右上隅で、プロフィール写真を選択し、 あなたの組織をクリックします。1. 組織名の下で、 [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
-
サイドバーの [セキュリティ] セクションで、ドロップダウン メニューの [コード セキュリティ] を選択し、次に [構成] をクリックします。
-
組織の構成テーブルの「GitHub 推奨」行で、「 に適用 」ドロップダウン メニューを選択し、「すべてのリポジトリ」または「構成なしのすべてのリポジトリ」をクリックします。
-
確認ダイアログのオプションで、新しく作成されたリポジトリに対し、security configuration を、それぞれの可視性に応じて自動的に適用することも選択できます。 ドロップダウン メニューで [なし] を選択した後、[公開用] または [個人用と内部用]、またはその両方をクリックします。
注: 組織でのデフォルトの security configuration は、組織で作成された新しいリポジトリにのみ自動的に適用されます。 リポジトリが組織に転送された場合でも、リポジトリに対し適切な security configuration を手動で適用する必要があります。
-
security configuration を適用するには、[適用] をクリックします。
security configuration は、アクティブなリポジトリとアーカイブされたリポジトリの両方に適用されます。一部のセキュリティ機能は、アーカイブされたリポジトリ (たとえば、secret scanning) で実行されるためです。 さらに、リポジトリが後にアーカイブされない場合は、選択した security configuration によって確実に保護されます。
GitHub-recommended security configuration を組織内の特定のリポジトリに適用する
-
GitHub の右上隅で、プロフィール写真を選択し、 あなたの組織をクリックします。1. 組織名の下で、 [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
-
サイドバーの [セキュリティ] セクションで、ドロップダウン メニューの [コード セキュリティ] を選択し、次に [構成] をクリックします。
-
必要に応じて、[構成の適用] セクションでビューをフィルター処理して、GitHub-recommended security configuration を適用するリポジトリを見つけます。 リポジトリ テーブルをフィルタリングする方法については、「リポジトリ テーブルを使用した組織内のリポジトリのフィルター処理」を参照してください。
-
リポジトリ テーブルで、次の 3 つの方法のいずれかを使用してリポジトリを選択します。
- security configuration を適用する個々のリポジトリを選択します。
- リポジトリ テーブルの現在のページにあるすべてのリポジトリを選択するには、NUMBER リポジトリ を選択します。
- NUMBER リポジトリ を選択した後、フィルタ条件に一致する組織内のすべてのリポジトリを選択するには、「すべて選択」をクリックします。
-
[構成 の適用] ドロップダウン メニューを選択し、[GitHub 推奨] をクリックします。
-
確認ダイアログのオプションで、新しく作成されたリポジトリに対し、security configuration を、それぞれの可視性に応じて自動的に適用することも選択できます。 ドロップダウン メニューで [なし] を選択した後、[公開用] または [個人用と内部用]、またはその両方をクリックします。
注: 組織でのデフォルトの security configuration は、組織で作成された新しいリポジトリにのみ自動的に適用されます。 リポジトリが組織に転送された場合でも、リポジトリに対し適切な security configuration を手動で適用する必要があります。
-
security configuration を適用するには、[適用] をクリックします。
security configuration は、アクティブなリポジトリとアーカイブされたリポジトリの両方に適用されます。一部のセキュリティ機能は、アーカイブされたリポジトリ (たとえば、secret scanning) で実行されるためです。 さらに、リポジトリが後にアーカイブされない場合は、選択した security configuration によって確実に保護されます。
GitHub-recommended security configuration の適用
-
GitHub の右上隅で、プロフィール写真を選択し、 あなたの組織をクリックします。
-
組織名の下で、 [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
-
サイドバーの [セキュリティ] セクションで、ドロップダウン メニューの [コード セキュリティ] を選択し、次に [構成] をクリックします。
-
[コード セキュリティ構成] セクションで、[GitHub 推奨] を選択します。
-
[構成の適用] の横にある [ポリシー] セクションで、ドロップダウン メニューから [適用] を選択します。
Note
Organization 内のユーザーが REST API を使用して、適用された構成の機能の有効化状態を変更しようとすると、API コールは成功したように見えますが、有効化状態は変更されません。
状況によっては、リポジトリに対する security configurations の適用が中断される場合があります。 たとえば、次の場合、code scanning の有効化はリポジトリには適用されません。
- GitHub Actions は、最初はリポジトリで有効になっていますが、その後、リポジトリで無効になります。
- code scanning 構成に必要な GitHub Actions は、リポジトリで使用できません。
- code scanning の既存のセットアップを使用して言語を分析することができない定義が変更されます。
次のステップ
GitHub-recommended security configuration を適用した後、global settings を使用して組織レベルのセキュリティ設定をカスタマイズできます。 「組織のグローバル セキュリティ設定の構成」をご覧ください。
security configuration を適用しようとすると、エラーが発生することがあります。 詳細については、「Finding and fixing configuration attachment failures」および「セキュリティ構成のトラブルシューティング」を参照してください。