Skip to main content

GitHub Advanced Security の課金について

プライベートもしくはインターナルリポジトリでGitHub Advanced Securityの機能を使いたいなら、ライセンスが必要になります。これらの機能は、GitHub.com上のパブリックリポジトリでは無料で利用できます。

GitHub Advanced Security は、GitHub Enterprise Cloud、GitHub Enterprise Server のエンタープライズ アカウントで利用できます。また、GitHub Advanced Security の一部の機能も、GitHub.com のパブリック リポジトリで利用できます。詳細については、「GitHub のプラン」を参照してください。

GitHub Advanced Security for Azure DevOps の詳細については、Microsoft Learn の「GitHub Advanced Security for Azure DevOps を構成する」を参照してください。

GitHub Advanced Security の課金について

GitHub.com上のパブリックリポジトリ以外のリポジトリでGitHub Advanced Securityの機能を使いたいなら、GitHub Advanced Securityのライセンスが必要になります。 GitHub Advanced Security の詳細については、「GitHub Advanced Security について」を参照してください。

GitHub Advanced Security の各ライセンスによって、それらの機能を使用できるアカウントの最大数が指定されます。 少なくとも 1 つのリポジトリでこの機能が有効化されているそれぞれのアクティブなコミッターは、1 つのライセンスを使用します。 コミットの 1 つが過去 90 日以内にリポジトリにプッシュされた場合、そのコミットの作成日に関係なく、コミッターはアクティブと見なされます。

注: アクティブなコミッターは、コミット作成者情報と、コードが GitHub Enterprise Cloud にプッシュされた時のタイムスタンプの両方を使用して計算されます。

  • ユーザーがコードを GitHub にプッシュすると、そのプッシュでコードを作成したすべてのユーザーは、そのコードが GitHub にとって新しくない場合でも、GitHub Advanced Security のライセンスにカウントされます。

  • ユーザーは常に、最近のベースからブランチを作成するか、プッシュする前にそれらをリベースする必要があります。 これにより、過去 90 日間にコミットしていないユーザーが GitHub Advanced Security のライセンスを占めることがないようにします。

GitHub Enterprise Cloud をエンタープライズ アカウントで使い、クレジット カードで支払っている場合は、エンタープライズ アカウントの設定から GitHub Advanced Security ライセンスを購入するか、無料試用版を開始します。 詳細については、「GitHub Advanced Security へのサインアップ」および「GitHub Advanced Security の無料試用版を設定する」を参照してください。

現在、GitHub Enterprise Cloud の無料試用版を使っている場合は、GitHub Advanced Security を購入したり、GitHub Advanced Security の無料試用版を開始することはできません。

請求書で支払う場合、エンタープライズの GitHub Advanced Security のライセンスについては GitHub の営業チーム にお問い合わせください。

他の課金関連の質問については、GitHub Support にお問い合わせください。

GitHub Advanced Security のコミッター番号について

GitHub.com 上の GitHub Advanced Security のアクティブなコミッターの 2 つの数値を記録して表示します。

  • アクティブなコミッター とは、組織内のプライベート リポジトリの少なくとも 1 つに貢献し、エンタープライズ ライセンスのライセンスを使用するコミッターの数のことです。 つまり、組織のメンバー、外部のコラボレーターでもあるか、エンタープライズ内の組織に参加するための保留中の招待状を持っており、GitHub App のボットではないということです。 ボットとマシンのアカウントの違いについては、「GitHub Apps と OAuth アプリの違い」を参照してください。
  • このリポジトリ/組織に固有とは、このリポジトリまたはこの組織のリポジトリにのみ貢献したアクティブなコミッターの数のことです。 この数値は、そのリポジトリまたは組織の GitHub Advanced Security を非アクティブ化することで解放できるライセンスの数を示しています。

一意のアクティブなコミッターがない場合、これは、すべてのアクティブなコミッターが GitHub Advanced Security を使用する他のリポジトリまたは組織にも貢献しているということです。 そのリポジトリまたは組織の機能を非アクティブ化しても、GitHub Advanced Security のライセンスは解放されません。

ユーザをEnterpriseアカウントから削除すると、そのユーザのライセンスは24時間以内に解放されます。

注: ユーザーは、複数のリポジトリまたは組織にコントリビュートできます。 使用状況はエンタープライズ アカウント全体にわたって計測され、ユーザーが貢献しているリポジトリや組織の数を問わず、各メンバーが 1 つのライセンスを使用することが保証されます。

リポジトリで Advanced Security をアクティブ化または非アクティブ化すると、GitHub にライセンスの利用に関する変更の概要が表示されます。 GitHub Advanced Security へのアクセスを非アクティブ化した場合は、一意のアクティブなコミッターによって使用されているすべてのライセンスが解放されます。

ライセンス制限を超えている場合、GitHub Advanced Security はすでに有効になっているすべてのリポジトリで引き続き動作します。 ただし、GitHub Advanced Security が新しいリポジトリに対して有効になっている組織では、機能が非アクティブな状態でリポジトリが作成されます。 加えて、既存のリポジトリで GitHub Advanced Security を有効にするオプションは利用できなくなります。パブリック リポジトリの可視性をプライベートに変更すると、そのリポジトリでは GitHub Advanced Security は無効になります。

一部のリポジトリで GitHub Advanced Security を非アクティブにするか、ライセンスのサイズを増やすことで、一部のライセンスを解放した直後に、再度 GitHub Advanced Security を有効にするオプションが通常どおり動作します。

Enterprise アカウントが所有する Organization による Advanced Security の使用を許可または禁止するポリシーを適用できます。 詳細については、GitHub Enterprise Cloud ドキュメントの「エンタープライズに Advanced Security のポリシーを適用する."

ライセンス使用状況の表示については、「GitHub Advanced Security の使用状況を表示する」を参照してください。

コミッター数の管理については、「GitHub Advanced Security のライセンスを管理する」を参照してください。

アクティブなコミッターの使用状況を理解する

以下のタイムラインの例は、GitHub Advanced Securityのアクティブなコミッター数がEnterprise内で時間と共にどのように変化しうるかを示しています。 月ごとに、イベントと合わせてその結果のコミッター数があります。

Dateその月のイベントコミッター総数
4 月 15 日エンタープライズのメンバーが、リポジトリ X に対して GitHub Advanced Security を有効化。リポジトリ X には、過去 90 日間に 50 個のコミッターがあります。50
5 月 1 日開発者 A が、リポジトリ X で作業しているチームを離れる。開発者 A のコントリビューションは、引き続き 90 日間カウントされます。50
8 月 1 日90 日が経過したので、開発者 A のコントリビューションは必要なライセンスに対してカウントされなくなります。50 - 1 =
49
8 月 15 日エンタープライズのメンバーが、2 つ目のリポジトリであるリポジトリ Y に対して GitHub Advanced Security を有効化。過去 90 日間に、合計 20 人の開発者がそのリポジトリに貢献しました。 この 20 人の開発者のうち、10 人が最近リポジトリ X でも作業しており、追加のライセンスは必要ありません。49 + 10 =
59
8 月 16 日エンタープライズのメンバーが、リポジトリ X に対して GitHub Advanced Security を無効化。リポジトリ X で作業していた 49 人の開発者のうち、10 人はリポジトリ Y でも作業を続けており、このリポジトリでは過去 90 日間に合計 20 人の開発者が貢献しています。49 - 29 =
20

注: ユーザーは、コミットが 90 日以上前に作成されていたとしても、リポジトリのいずれかのブランチにコミットをプッシュしていればアクティブと見なされます。

GitHub Advanced Securityの最大限の活用

GitHub Advanced Security の優先順位を付けるリポジトリと Organization を決定するときは、それらを確認して次のことを特定する必要があります。

  • 会社の成功にとって最も重要なコードベース。 これらは、脆弱性のあるコード、ハードコーディングされたシークレット、または安全でない依存関係が導入された場合、会社に最も大きな影響を及ぼすプロジェクトです。
  • コミット頻度が最も高いコードベース。 これらは最も積極的に開発されたプロジェクトであるため、セキュリティの問題が発生するリスクが高くなります。

これらの組織またはリポジトリに対して GitHub Advanced Security を有効にした場合は、一意のアクティブなコミッターに対する課金を発生させることなく、追加できるその他のコードベースを評価します。 最後に、残りの重要でビジーなコードベースを確認します。 ライセンスが付与されたアクティブなコミッターの数を増やす必要がある場合は、GitHub の営業チーム にお問い合わせください。