Skip to main content
ドキュメントへの更新が頻繁に発行されており、このページの翻訳はまだ行われている場合があります。 最新の情報については、「英語のドキュメント」を参照してください。
All products
コードセキュリティ

GitHub セキュリティ機能

この記事の内容

GitHubのセキュリティ機能の概要。

GitHubのセキュリティ機能について

GitHubは、リポジトリ内及びOrganizationに渡ってコードとシークレットをセキュアに保つのに役立つ機能があります。 一部の機能は、すべてのプランのリポジトリに使用できます。 その他の機能は、GitHub Advanced Security を使うエンタープライズに使用できます。 GitHub Advanced Security の機能は、GitHub.com 上のすべてのパブリック リポジトリでも有効になります。 詳しくは、「GitHub Advanced Security について」を参照してください。

GitHub Advisory Databaseには、表示、検索、フィルタできる精選されたセキュリティ脆弱性のリストが含まれます。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」を参照してください。

すべてのリポジトリで使用可能

セキュリティ ポリシー

リポジトリで見つけたセキュリティの脆弱性を、ユーザが内密に報告しやすくします。 詳しくは、「リポジトリへのセキュリティ ポリシーの追加」を参照してください。

セキュリティ アドバイザリ

リポジトリのコードのセキュリティの脆弱性について、非公開で議論して修正します。 その後、セキュリティアドバイザリを公開して、コミュニティに脆弱性を警告し、アップグレードするようコミュニティメンバーに促すことができます。 詳しくは、「リポジトリ セキュリティ アドバイザリについて」を参照してください。

Dependabot alerts およびセキュリティアップデート

セキュリティの脆弱性を含むことを把握している依存関係に関するアラートを表示し、プルリクエストを自動的に生成してこれらの依存関係を更新するかどうかを選択します。 詳細については、「Dependabot アラートについて」および「Dependabot のセキュリティ アップデート」を参照してください。

Dependabot バージョンアップデート

Dependabotを使って、依存関係を最新に保つためのPull Requestを自動的に発行してください。 これは、依存関係の古いバージョンの公開を減らすために役立ちます。 新しいバージョンを使用すると、セキュリティの脆弱性が発見された場合にパッチの適用が容易になり、さらに脆弱性のある依存関係を更新するため Dependabot security updates がプルリクエストを発行することも容易になります。 詳しくは、「GitHub Dependabot のバージョンアップデートについて」を参照してください。

依存関係グラフ

依存関係グラフを使うと、自分のリポジトリが依存しているエコシステムやパッケージ、そして自分のリポジトリに依存しているリポジトリやパッケージを調べることができます。

依存関係グラフは、リポジトリの [分析情報] タブにあります。 詳しくは、「依存関係グラフについて」を参照してください。

少なくとも、リポジトリへの読み取りアクセス権をお持ちの場合は、リポジトリの依存関係グラフを SPDX 互換のソフトウェア部品表 (SBOM) としてエクスポートできます。 詳しくは、「リポジトリのソフトウェア部品表のエクスポート」を参照してください。

セキュリティの概要

セキュリティの概要では、セキュリティ構成とアラートを確認できるため、最もリスクの高いリポジトリと Organization を簡単に特定できます。 詳しくは、「セキュリティの概要について」を参照してください。

無料のパブリック リポジトリで使えます

パートナーに対するシークレット スキャン アラート

すべてのパブリック リポジトリとパブリック npm パッケージ全体で漏洩したシークレットを自動的に検出します。 GitHub は、シークレットが侵害される可能性があることを関連するサービス プロバイダーに通知します。 サポートされるシークレットとサービス プロバイダーの詳細については、「secret scanning パターン」を参照してください。

GitHub Advanced Security で使用可能

多くの GitHub Advanced Security 機能は、GitHub.com のパブリック リポジトリで無料で利用できます。 GitHub Advanced Security ライセンスを持つエンタープライズ内の組織は、すべてのリポジトリで次の機能を使用できます。 詳しくは、「GitHub Advanced Security について」を参照してください。

Code scanning

新しいコードまたは変更されたコードのセキュリティの脆弱性とコーディングエラーを自動的に検出します。 潜在的な問題が強調表示され、あわせて詳細情報も確認できるため、デフォルトのブランチにマージする前にコードを修正できます。 詳しくは、「コード スキャンについて」を参照してください。

ユーザーに対するシークレット スキャン アラート

リポジトリにチェックインされたトークンまたは資格情報を自動的に検出します。 GitHub によってコードから検出されたシークレットのアラートは、リポジトリの [セキュリティ] タブに表示できます。これにより、侵害されているものとして扱うべきトークンまたは資格情報がわかります。 詳しくは、「シークレット スキャンについて」を参照してください。

依存関係の確認

Pull Requestをマージする前に、依存関係に対する変更の影響を詳細に示し、脆弱なバージョンがあればその詳細を確認できます。 詳しくは、「依存関係の確認について」を参照してください。

参考資料