custom security configurations
について
custom security configurations を構成する前に、GitHub-recommended security configuration を使用して Organization をセキュリティで保護してから、リポジトリのセキュリティ指摘事項を評価することをお勧めします。 詳しくは、「組織での GitHub で推奨されるセキュリティ構成の適用」をご覧ください。
custom security configurations を使用すると、GitHub のセキュリティ製品の有効化設定のコレクションを作成して、Organization の特定のセキュリティ ニーズを満たすことができます。 たとえば、リポジトリのグループごとに異なる custom security configuration を作成し、さまざまなレベルの可視性、リスク許容度、および影響を反映できます。
custom security configuration の作成
Note
一部のセキュリティ機能の有効化状態は、他の上位レベルのセキュリティ機能に依存します。 たとえば、依存関係グラフを無効にすると、Dependabot とセキュリティ更新プログラムも無効になります。 security configurations の場合、依存セキュリティ機能はインデントと で示されます。
-
GitHub の右上隅で、プロフィール写真を選択し、 あなたの組織をクリックします。
-
組織名の下で、 [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
-
サイドバーの [セキュリティ] セクションで、ドロップダウン メニューの [コード セキュリティ] を選択し、次に [構成] をクリックします。
-
[コード セキュリティ構成] セクションで、[新しい構成] をクリックします。
-
custom security configuration を特定し、その目的を [コード security configurations] ページで明確にするには、構成に名前を付けて説明を作成します。
-
[GitHub Advanced Security 機能] 行で、GitHub Advanced Security (GHAS) 機能を含めるか除外するかを選択します。 GHAS 機能を持つ custom security configuration をプライベート リポジトリに適用する場合は、それらのリポジトリに対するアクティブな一意のコミッターごとに使用可能な GHAS ライセンスが必要です。そうでないと、機能は有効になりません。 「GitHub Advanced Security の課金について」を参照してください。
-
セキュリティの設定テーブルの [依存関係グラフ] セクションで、次のセキュリティ機能について、有効にするか、無効にするか、既存の設定を保持するかを選択します。
- 依存関係グラフ 依存関係グラフの詳細については、「依存関係グラフについて」を参照してください。
- 依存関係の自動送信。 依存関係の自動送信の詳細については、「リポジトリの依存関係の自動送信の構成」を参照してください。
- Dependabot。 Dependabot の詳細については、「Dependabot アラートについて」を参照してください。
- セキュリティ更新プログラム。 セキュリティ アップデートの詳細については、「Dependabot のセキュリティ アップデート」を参照してください。
-
セキュリティの設定テーブルの [Code scanning] セクションで、code scanning の既定のセットアップの既存の設定を有効にするか、無効にするか、維持するかを選びます。 code scanning の特定のランナーを対象にする場合は、このステップでカスタムラベル付きランナーの使用を選ぶこともできます。「コード スキャンの既定セットアップの構成」を参照してください。
-
セキュリティの設定テーブルの [Secret scanning] セクションで、次のセキュリティ機能について、有効にするか、無効にするか、既存の設定を保持するかを選択します。
- Secret scanning。 secret scanning の詳細については、「シークレット スキャンについて」を参照してください。
- 有効性チェック。 パートナー パターンの有効性チェックの詳細については、「シークレット スキャンからのアラートの評価」を参照してください。
- プロバイダー以外のパターン。 プロバイダー以外のパターンのスキャンの詳細については、「サポートされているシークレット スキャン パターン」と「シークレット スキャンからのアラートの表示とフィルター処理」を参照してください。
- プッシュ保護。 プッシュ保護の詳細については、「プッシュ保護について」を参照してください。
-
必要に応じて、[プッシュ保護] で、組織内の選択したアクターにバイパス特権を割り当てるかどうかを選択します。 バイパス特権を割り当てることで、選択した組織メンバーはプッシュ保護をバイパスでき、他のすべての共同作成者に対するレビューと承認プロセスがあります。 この設定を構成する方法の詳細については、「プッシュ保護のための委任されたバイパスの有効化」を参照してください。
-
セキュリティの設定テーブルの [プライベート脆弱性レポート] セクションで、プライベート脆弱性レポートについて、有効にするか、無効にするか、既存の設定を保持するかを選択します。 プライベート脆弱性レポートの詳細については、「リポジトリのプライベート脆弱性レポートの構成」を参照してください。
-
必要に応じて、[ポリシー] セクションで、新しく作成されたリポジトリに security configuration を可視性に応じて自動的に適用することを選択できます。 [なし] ドロップダウン メニューを選択し、[パブリック] または [プライベートと内部]、またはその両方をクリックします。
Note
Organization での既定の security configuration は、organization で作成された新しいリポジトリにのみ自動的に適用されます。 リポジトリが組織に転送された場合でも、リポジトリに対し適切な security configuration を手動で適用する必要があります。
-
必要に応じて、[ポリシー] セクションで、構成を適用し、リポジトリ所有者が構成によって有効または無効になっている機能を変更できないようにすることができます (設定されていない機能は適用されません)。 [構成の強制] の横にあるドロップダウン メニューから [強制] を選択します。
Note
Organization 内のユーザーが REST API を使用して、適用された構成の機能の有効化状態を変更しようとすると、API コールは成功したように見えますが、有効化状態は変更されません。
状況によっては、リポジトリに対する security configurations の適用が中断される場合があります。 たとえば、次の場合、code scanning の有効化はリポジトリには適用されません。
- GitHub Actions は、最初はリポジトリで有効になっていますが、その後、リポジトリで無効になります。
- code scanning 構成に必要な GitHub Actions は、リポジトリで使用できません。
- code scanning の既存のセットアップを使用して言語を分析することができない定義が変更されます。
-
custom security configuration の作成を完了するには、[構成の保存] をクリックします。
次のステップ
Organization 内のリポジトリに custom security configuration を適用するには、「カスタム セキュリティ構成の適用」を参照してください。
custom security configuration の編集方法を確認するには、「カスタム セキュリティ構成の編集」を参照してください。