注: Security configurations および global settings は現在ベータ版で提供されており、変更される可能性があります。 これらの機能についてフィードバックするには、フィードバックについてのディスカッションを参照してください。
custom security configurations
について
custom security configurations を構成する前に、GitHub-recommended security configuration を使用して Organization をセキュリティで保護してから、リポジトリのセキュリティ指摘事項を評価することをお勧めします。 詳しくは、「組織での GitHub で推奨されるセキュリティ構成の適用」を参照してください。
custom security configurations を使用すると、GitHub のセキュリティ製品の有効化設定のコレクションを作成して、Organization の特定のセキュリティ ニーズを満たすことができます。 たとえば、リポジトリのグループごとに異なる custom security configuration を作成し、さまざまなレベルの可視性、リスク許容度、および影響を反映できます。
custom security configuration の作成
注: 一部のセキュリティ機能の有効化状態は、他の上位レベルのセキュリティ機能に依存します。 たとえば、依存関係グラフを無効にすると、Dependabot、脆弱性の漏えいの分析、セキュリティ アップデートも無効になります。 security configurations の場合、依存セキュリティ機能はインデントと で示されます。
-
GitHub.com の右上隅にあるプロファイル写真を選択し、次に自分の組織をクリックします。
-
組織名の下で、 [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
-
サイドバーの [セキュリティ] セクションで、ドロップダウン メニューの [コード セキュリティ] を選択し、次に [構成] をクリックします。
-
[コード セキュリティ構成] セクションで、[新しい構成] をクリックします。
-
custom security configuration を特定し、その目的を [コード security configurations] ページで明確にするには、構成に名前を付けて説明を作成します。
-
[GitHub Advanced Security 機能] 行で、GitHub Advanced Security (GHAS) 機能を含めるか除外するかを選択します。 GHAS 機能を持つ custom security configuration をプライベート リポジトリに適用する場合は、それらのリポジトリに対するアクティブな一意のコミッターごとに使用可能な GHAS ライセンスが必要です。そうでないと、機能は有効になりません。 コミッターと GHAS ライセンスについては、「GitHub Advanced Security の課金について」を参照してください。
-
セキュリティの設定テーブルの [依存関係グラフ] セクションで、次のセキュリティ機能について、有効にするか、無効にするか、既存の設定を保持するかを選択します。
- 依存関係グラフ 依存関係グラフの詳細については、「依存関係グラフについて」を参照してください。
- Dependabot。 Dependabot の詳細については、「Dependabot アラートについて」を参照してください。
- セキュリティ更新プログラム。 セキュリティ アップデートの詳細については、「Dependabot のセキュリティ アップデート」を参照してください。
注: 脆弱な関数呼び出しについては、有効化設定を手動で変更することはできません。 GitHub Advanced Security 機能と Dependabot alerts が有効になっている場合、脆弱な関数呼び出しも有効になります。 それ以外の場合は、無効になります。
-
セキュリティの設定テーブルの [Code scanning] セクションで、code scanning の既定のセットアップについて、有効にするか、無効にするか、既存の設定を保持するかを選択します。 既定のセットアップの詳細については、「コード スキャンの既定セットアップの構成」を参照してください。
-
セキュリティの設定テーブルの [Secret scanning] セクションで、次のセキュリティ機能について、有効にするか、無効にするか、既存の設定を保持するかを選択します。
- Secret scanning。 secret scanning の詳細については、「シークレット スキャンについて」を参照してください。
- プッシュ保護。 プッシュ保護の詳細については、「リポジトリと Organization のプッシュ保護」を参照してください。
-
セキュリティの設定テーブルの [プライベート脆弱性レポート] セクションで、プライベート脆弱性レポートについて、有効にするか、無効にするか、既存の設定を保持するかを選択します。 プライベート脆弱性レポートの詳細については、「リポジトリのプライベート脆弱性レポートの構成」を参照してください。
-
必要に応じて、[ポリシー] セクションで、新しく作成されたリポジトリに security configuration を可視性に応じて自動的に適用することを選択できます。 [なし] ドロップダウン メニューを選択し、[パブリック] または [プライベートと内部]、またはその両方をクリックします。
注: 組織でのデフォルトの security configuration は、組織で作成された新しいリポジトリにのみ自動的に適用されます。 リポジトリが組織に転送された場合でも、リポジトリに対し適切な security configuration を手動で適用する必要があります。
-
custom security configuration の作成を完了するには、[構成の保存] をクリックします。
次のステップ
custom security configuration を Organization 内のリポジトリに適用するには、「カスタム セキュリティ構成の適用」を参照してください。
custom security configuration の編集方法を確認するには、「カスタム セキュリティ構成の編集」を参照してください。