Skip to main content
ドキュメントへの更新が頻繁に発行されており、このページの翻訳はまだ行われている場合があります。 最新の情報については、「英語のドキュメント」を参照してください。
All products
コードセキュリティ

組織のセキュリティ保護

この記事の内容

Organizationをセキュアに保つために、いくつものGitHubの機能が利用できます。

この機能を使用できるユーザー

Organization owners can configure organization security settings.

はじめに

このガイドは、Organizationでのセキュリティ機能の設定方法を紹介します。 Organizationのセキュリティの要件は固有のものであり、すべてのセキュリティの機能を有効化する必要はないかもしれません。 詳しくは、「GitHub セキュリティ機能」を参照してください。

一部の機能は、すべてのプランのリポジトリに使用できます。 その他の機能は、GitHub Advanced Security を使うエンタープライズに使用できます。 GitHub Advanced Security の機能は、GitHub.com 上のすべてのパブリック リポジトリでも有効になります。 詳しくは、「GitHub Advanced Security について」を参照してください。

Organizationへのアクセス管理

ロールを使って、個人が組織内で実行できるアクションを制御できます。 たとえば、team にセキュリティ マネージャー ロールを割り当てて、Organization 全体のセキュリティ設定を管理する権限と、すべてのリポジトリの読み取りアクセス権を付与できます。詳しくは、「Organizationのロール」をご覧ください。

デフォルトのセキュリティポリシーの作成

独自のセキュリティポリシーを持たないOrganization内のパブリックリポジトリで表示される、デフォルトのセキュリティポリシーを作成できます。 詳しくは、「既定のコミュニティ正常性ファイルの作成」を参照してください。

Dependabot alerts及び依存関係グラフの管理

GitHub によって、パブリック リポジトリ内の脆弱性が検出され、依存関係グラフに表示されます。 組織が所有するすべてのパブリック リポジトリに対して Dependabot alerts を有効または無効にすることができます。 組織が所有するすべてのリポジトリに対して Dependabot alertsと依存関係グラフを有効または無効にすることができます。

  1. プロファイル画像をクリックし、 Organizations をクリックします。
  2. 組織の横にある Settings をクリックします。
  3. [セキュリティと分析] をクリックします。
  4. 管理する機能の横にある Enable all または Disable all をクリックします。
  5. 必要に応じて、 Automatically enable for new repositories を選びます。

詳しくは、「Dependabot アラートについて」、「リポジトリの依存関係を調べる」、「Organization のセキュリティおよび分析設定を管理する」をご覧ください。

依存関係レビューの管理

依存関係レビューとは、Advanced Security の機能であり、pull request の依存関係の変更をリポジトリにマージする前に視覚化することができます。 詳しくは、「依存関係の確認について」を参照してください。

依存関係レビューは、すべてのパブリック リポジトリに対して既に有効になっています。 組織が所有するプライベートと内部のリポジトリの場合、依存関係レビューを有効にするには、依存関係グラフを有効にし、Advanced Security を有効にします (以下を参照してください)。

Dependabot security updatesの管理

Dependabot alertsを使用するリポジトリでは、Dependabot security updatesを有効化して脆弱性が検出された際にセキュリティ更新でPull Requestを発行させることができます。 Organization全体で、すべてのリポジトリでDependabot security updatesを有効化あるいは無効化することもできます。

  1. プロファイル画像をクリックし、 Organizations をクリックします。
  2. 組織の横にある Settings をクリックします。
  3. [セキュリティと分析] をクリックします。
  4. Dependabot security updates の横にある Enable all または Disable all をクリックします。
  5. 必要に応じて、 Automatically enable for new repositories を選びます。

詳細については、「Dependabot のセキュリティ アップデート」および「Organization のセキュリティおよび分析設定を管理する」を参照してください。

Dependabot version updatesの管理

Dependabotを有効化して、依存関係を最新の状態に保つためのPull Requestを自動的に発行するようにできます。 詳しくは、「GitHub Dependabot のバージョンアップデートについて」を参照してください。

Dependabot version updates を有効にするには、dependabot.yml 構成ファイルを作成する必要があります。 詳しくは、「Dependabot のバージョン アップデートの設定」を参照してください。

GitHub Advanced Securityの管理

Advanced Security ライセンスを持つエンタープライズが所有する組織である場合、Advanced Security 機能を有効または無効にすることができます。

  1. プロファイル画像をクリックし、 Organizations をクリックします。
  2. 組織の横にある Settings をクリックします。
  3. [セキュリティと分析] をクリックします。
  4. GitHub Advanced Security の横にある Enable all または Disable all をクリックします。
  5. 必要に応じて、 [Automatically enable for new private repositories](新しいプライベート リポジトリに対して自動的に有効にする) を選びます。

詳細については、「GitHub Advanced Security について」および「Organization のセキュリティおよび分析設定を管理する」を参照してください。

secret scanningの設定

Secret scanningは、すべてのパブリック リポジトリとパブリック npm パッケージに使うことができます。 GitHub Enterprise Cloud を Advanced Security で使っている Organization では、プライベート リポジトリと内部リポジトリに対して secret scanning を有効にすることができます。

Organization 全体で、すべてのパブリック リポジトリ、および GitHub Advanced Security が有効になっているすべてのプライベート リポジトリと内部リポジトリに対して、secret scanning を有効または無効にすることができます。

  1. プロファイル画像をクリックし、 Organizations をクリックします。
  2. 組織の横にある Settings をクリックします。
  3. [コードのセキュリティと分析] をクリックします。
  4. Secret scanning の横にある [すべて有効にする] または [すべて無効にする] をクリックします。
  5. 表示されるダイアログ ボックスで、必要に応じて、 [新しいパブリック リポジトリと Advanced Security が有効になっているリポジトリに対して自動的に有効にする] を選びます。
  6. ダイアログ ボックスの有効または無効ボタンをクリックして、変更を確認します。

詳しくは、「Organization のセキュリティおよび分析設定を管理する」を参照してください。

code scanning の構成

Code scanning は、すべてのパブリック リポジトリに使用できます。 GitHub Enterprise Cloud を Advanced Security と共に使っている組織は、プライベートと内部のリポジトリに対して code scanning をさらに有効にすることができます。

該当するすべてのリポジトリに対して code scanning の既定の設定を有効または無効にすることができ、対象となるのは、パブリックなリポジトリと、プライベートと内部でGitHub Advanced Security が有効になっている組織全体のリポジトリです。対象となるリポジトリについては、「CodeQL を使用した大規模なコード スキャンの構成」を参照してください。

既定の設定の対象ではないリポジトリの場合は、リポジトリ レベルで高度な設定を構成できます。 詳しくは、「リポジトリの code scanning を構成する」を参照してください。

注: Organization 内の対象となるリポジトリに対してcode scanningの既定のセットアップを有効および無効にする機能は、現在ベータ版であり、変更される可能性があります。 ベータ版のリリース中に、すべてのリポジトリで CodeQL code scanningを無効にした場合、この変更は Organization のセキュリティの概要に示されているカバレッジ情報には反映されません。 リポジトリでは引き続き、このビューでcode scanningが有効になっているように見えます。

  1. プロファイル画像をクリックし、 Organizations をクリックします。
  2. 組織の横にある Settings をクリックします。
  3. [コードのセキュリティと分析] をクリックします。
  4. Code scanning の横にある [すべて有効にする] または [すべて無効にする] をクリックします。
  5. 表示される [対象となるリポジトリに対して code scanning を有効にする] または [code scanning を無効にする] ダイアログ ボックスで、 [対象となるリポジトリに対して有効にする] または [code scanning を無効にする] をクリックして変更を確認します。

次の手順

セキュリティの機能からのアラートを表示及び管理して、コード中の依存関係と脆弱性に対処できます。 詳細については、「Dependabot アラートの表示と更新」、「依存関係の更新に関するPull Requestを管理する」、「リポジトリのコード スキャンのアラートを管理する」、「シークレット スキャンからのアラートの管理」を参照してください。

組織内でセキュリティ アラートへの対応を監視することもできます。 詳細については、「セキュリティ アラートの監査」を参照してください。

セキュリティの脆弱性があるなら、セキュリティ アドバイザリを作成して非公開で議論し、脆弱性を修正できます。 詳細については、「リポジトリ セキュリティ アドバイザリについて」および「リポジトリ セキュリティ アドバイザリの作成」を参照してください。

ユーザーは、セキュリティの概要で自分の組織が所有するリポジトリのセキュリティ アラートの表示、フィルター処理、並べ替えを行うことができます。 詳しくは、「セキュリティの概要について」をご覧ください。

参考資料

Organizationのコンプライアンスレポートへのアクセス