Skip to main content
ドキュメントへの更新が頻繁に発行されており、このページの翻訳はまだ行われている場合があります。 最新の情報については、「英語のドキュメント」を参照してください。

GitHub セキュリティ機能

GitHubのセキュリティ機能の概要。

GitHubのセキュリティ機能について

GitHubは、リポジトリ内及びOrganizationに渡ってコードとシークレットをセキュアに保つのに役立つ機能があります。 一部の機能は、すべてのプランのリポジトリに使用できます。 その他の機能は、GitHub Advanced Security を使うエンタープライズに使用できます。 GitHub Advanced Security の機能は、GitHub.com 上のすべてのパブリック リポジトリでも有効になります。 詳細については、「GitHub Advanced Security について」を参照してください。

GitHub Advisory Databaseには、表示、検索、フィルタできる精選されたセキュリティ脆弱性のリストが含まれます。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」をご覧ください。

すべてのリポジトリで使用可能

セキュリティ ポリシー

リポジトリで見つけたセキュリティの脆弱性を、ユーザが内密に報告しやすくします。 詳細については、「リポジトリへのセキュリティ ポリシーの追加」を参照してください。

セキュリティ アドバイザリ

リポジトリのコードのセキュリティの脆弱性について、非公開で議論して修正します。 その後、セキュリティアドバイザリを公開して、コミュニティに脆弱性を警告し、アップグレードするようコミュニティメンバーに促すことができます。 詳細については、「リポジトリ セキュリティ アドバイザリについて」を参照してください。

Dependabot alerts およびセキュリティアップデート

セキュリティの脆弱性を含むことを把握している依存関係に関するアラートを表示し、プルリクエストを自動的に生成してこれらの依存関係を更新するかどうかを選択します。 詳細については、「Dependabot alerts について」と「Dependabot security updates について」を参照してください。

Dependabot バージョンアップデート

Dependabotを使って、依存関係を最新に保つためのPull Requestを自動的に発行してください。 これは、依存関係の古いバージョンの公開を減らすために役立ちます。 新しいバージョンを使用すると、セキュリティの脆弱性が発見された場合にパッチの適用が容易になり、さらに脆弱性のある依存関係を更新するため Dependabot security updates がプルリクエストを発行することも容易になります。 詳細については、「Dependabot version updates について」を参照してください。

依存関係グラフ

依存関係グラフを使うと、自分のリポジトリが依存しているエコシステムやパッケージ、そして自分のリポジトリに依存しているリポジトリやパッケージを調べることができます。

依存関係グラフは、リポジトリの [分析情報] タブにあります。 詳細については、「依存関係グラフについて」を参照してください。

セキュリティの概要

セキュリティの概要を使用すると、セキュリティ構成とアラートを確認できるため、最もリスクの高いリポジトリと組織を簡単に特定できます。 詳細については、「セキュリティの概要について」を参照してください。

無料のパブリック リポジトリで使えます

Secret scanning alerts for partners

すべてのパブリック リポジトリで漏洩したシークレットを自動的に検出します。 GitHub は、シークレットが侵害される可能性があることを関連するサービス プロバイダーに通知します。 サポートされているシークレットとサービス プロバイダーの詳細については、「パートナー アラートでサポートされているシークレット」を参照してください。

GitHub Advanced Security で使用可能

多くの GitHub Advanced Security 機能は、GitHub.com のパブリック リポジトリで無料で利用できます。 GitHub Advanced Security ライセンスを持つエンタープライズ内の組織は、すべてのリポジトリで次の機能を使用できます。 詳細については、「GitHub Advanced Security について」を参照してください。

Code scanning

新しいコードまたは変更されたコードのセキュリティの脆弱性とコーディングエラーを自動的に検出します。 潜在的な問題が強調表示され、あわせて詳細情報も確認できるため、デフォルトのブランチにマージする前にコードを修正できます。 詳細については、「コード スキャンについて」を参照してください。

Secret scanning alerts for users

GitHub Advanced Security のライセンスでのみ使用できます。

リポジトリにチェックインされたトークンまたは資格情報を自動的に検出します。 GitHub によってコードから検出されたシークレットのアラートは、リポジトリの [セキュリティ] タブに表示できます。これにより、侵害されているものとして扱うべきトークンまたは資格情報がわかります。 詳細については、「secret scanning alerts for users について」」を参照してください。

依存関係の確認

Pull Requestをマージする前に、依存関係に対する変更の影響を詳細に示し、脆弱なバージョンがあればその詳細を確認できます。 詳細については、「依存関係レビューについて」を参照してください。

参考資料