コードセキュリティのためのガイド
コードのセキュリティの改善をGitHub Enterprise Cloudが支援する様々な方法について学んでください。
- 1概要
セキュリティ脆弱性の調整された開示について
脆弱性の開示は、セキュリティの報告者とリポジトリメンテナの調整された取り組みです。 - 2概要
GitHub Advisory Database について
GitHub Advisory Database には、既知のセキュリティの脆弱性 とマルウェアの一覧が含まれており、これらは、GitHub でレビューされたアドバイザリとレビューされていないアドバイザリの 2 つのカテゴリにグループ化されます。 - 3概要
グローバル セキュリティ アドバイザリについて
グローバル セキュリティ アドバイザリは GitHub Advisory Database にあります。これは、オープン ソース界に影響がある CVE と GitHub が発行したセキュリティ アドバイザリのコレクションです。 どなたでもグローバル セキュリティ アドバイザリの改善に貢献できます。 - 4概要
リポジトリ セキュリティ アドバイザリについて
リポジトリにおけるセキュリティの脆弱性について、非公開で議論、修正、および情報を共有するには、リポジトリ セキュリティ アドバイザリを使用できます。 - 5ハウツー ガイド
リポジトリ セキュリティ アドバイザリを作成するためのベスト プラクティス
セキュリティ アドバイザリを作成または編集すると、標準形式を使用してエコシステム、パッケージ名、影響を受けるバージョンを指定する際に、あなたが提供する情報を他のユーザーが容易に理解できるようにすることができます。 - 6ハウツー ガイド
セキュリティの脆弱性を非公開で報告する
一部のパブリック リポジトリでは、セキュリティ アドバイザリを構成して、誰もがセキュリティの脆弱性を直接、または非公開で保守担当者に報告できるようにします。 - 7ハウツー ガイド
非公開で報告されたセキュリティの脆弱性の管理
リポジトリの保守担当者は、プライベート脆弱性レポートが有効になっているリポジトリのセキュリティ リサーチャーによって非公開で報告されたセキュリティ脆弱性を管理できます。 - 8ハウツー ガイド
リポジトリのプライベート脆弱性レポートの構成
パブリック リポジトリの所有者と管理者は、プライベート脆弱性レポートを有効にすることで、セキュリティ リサーチャーがリポジトリ内の脆弱性を安全に報告できるようにすることができます。 - 9ハウツー ガイド
Organization のプライベート脆弱性レポートの構成
Organization オーナーとセキュリティ マネージャーは、すべてのパブリック リポジトリに対してプライベート脆弱性レポートを有効にすることで、セキュリティ研究者たちが Organization 内にあるリポジトリの脆弱性を安全にレポートできるようにすることができます。 - 10ハウツー ガイド
リポジトリ セキュリティ アドバイザリの作成
セキュリティアドバイザリのドラフトを作成して、オープンソースプロジェクトのセキュリティ脆弱性について非公開で議論して修正することができます。 - 11ハウツー ガイド
リポジトリ セキュリティ アドバイザリへのコラボレータの追加
あなたと協力するセキュリティアドバイザリとして、ユーザや Team を追加できます。 - 12ハウツー ガイド
一時的なプライベート フォークで、リポジトリのセキュリティ脆弱性を解決するためにコラボレートする
リポジトリにおけるセキュリティ脆弱性の修正について非公開でコラボレートするため、一時的なプライベートフォークを作成できます。 - 13ハウツー ガイド
リポジトリ セキュリティ アドバイザリの公開
プロジェクト内のセキュリティ脆弱性についてコミュニティにアラートするため、セキュリティアドバイザリを公開できます。 - 14ハウツー ガイド
リポジトリ セキュリティ アドバイザリの編集
詳細を更新したりエラーを修正したりする必要がある場合は、リポジトリ セキュリティ アドバイザリのメタデータと説明を編集できます。 - 15ハウツー ガイド
リポジトリ セキュリティ アドバイザリの撤回
公開したリポジトリ セキュリティ アドバイザリを撤回できます。 - 16ハウツー ガイド
リポジトリ セキュリティ アドバイザリからのコラボレータの削除
リポジトリ セキュリティ アドバイザリからコラボレーターを削除すると、そのコラボレーターはセキュリティ アドバイザリのディスカッションとメタデータへの読み取りおよび書き込みアクセス権を失います。
Code security ラーニング パス
セキュリティで保護されていない依存関係の通知を受け取る
依存関係に新しい脆弱性またはマルウェアが見つかった場合に警告するように Dependabot を設定します。
依存関係を最新に保つ
Dependabot を使って新しいリリースを確認し、依存関係を更新します。
シークレットのスキャン
トークン、パスワード、その他のシークレットを誤ってリポジトリにチェックインしないように Secret Scanning を設定します。
GitHub Actions で Code Scanning を実行する
既定のブランチとすべての pull request を確認して、リポジトリに脆弱性とエラーがないようにします。
CI で CodeQL Code Scanning を実行する
既存の CI 内で CodeQL を設定し、結果を GitHub Code Scanning にアップロードします。
Code Scanning と統合する
SARIF を使ってサードパーティ システムから GitHub にコード分析結果をアップロードします。
すべての Code security ガイド
リポジトリへのセキュリティ ポリシーの追加
ハウツー ガイドセキュリティポリシーをリポジトリに追加することによって、プロジェクト内のセキュリティ脆弱性を報告する方法の手順を示すことができます。
- Security policies
- Vulnerabilities
- Repositories
- Health
GitHub セキュリティ機能
概要GitHubのセキュリティ機能の概要。
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
組織のセキュリティ保護
ハウツー ガイドOrganizationをセキュアに保つために、いくつものGitHubの機能が利用できます。
- Organizations
- Dependencies
- Vulnerabilities
- Advanced Security
リポジトリを保護する
ハウツー ガイドリポジトリをセキュアに保つために、いくつものGitHubの機能が利用できます。
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
セキュリティ アラートの監査
概要GitHub には、セキュリティ アラートに対して実行されたアクションを監査および監視するために使用できるさまざまなツールが用意されています。
- Repositories
- Dependencies
- Vulnerabilities
- Security
- Advanced Security
シークレット スキャンについて
概要GitHub Enterprise Cloud はリポジトリをスキャンして既知のシークレットのタイプを探し、誤ってコミットされたシークレットの不正使用を防止します。
- Secret scanning
- Advanced Security
リポジトリのシークレット スキャンの構成
ハウツー ガイドGitHub がリポジトリで漏洩したシークレットをスキャンし、アラートを生成する方法を構成できます。
- Secret scanning
- Advanced Security
- Repositories
シークレット スキャンのカスタム パターンの定義
ハウツー ガイドsecret scanning を拡張して、既定のパターン以外のシークレットを検出できます。
- Advanced Security
- Secret scanning
シークレット スキャンからのアラートの管理
ハウツー ガイドリポジトリにチェックインしたシークレットのアラートを表示したりクローズしたりすることができます。
- Secret scanning
- Advanced Security
- Alerts
- Repositories