Skip to main content
ドキュメントへの更新が頻繁に発行されており、このページの翻訳はまだ行われている場合があります。 最新の情報については、「英語のドキュメント」を参照してください。

GitHub Advanced Security について

この記事の内容

GitHub には、Advanced Security ライセンスの下でユーザーが使用できる追加のセキュリティ機能があります。これらの機能は、GitHub.com 上の公開リポジトリでも有効になります。

GitHub Advanced Security は、GitHub Enterprise Cloud、GitHub Enterprise Server のエンタープライズ アカウントで利用できます。また、GitHub Advanced Security の一部の機能も、GitHub.com のパブリック リポジトリで利用できます。 詳細については、「GitHub 製品について」を参照してください。

GitHub Advanced Security について

GitHubには、コードの質を改善し維持できる多くの機能があります。 これらの一部は、依存関係グラフや Dependabot alertsなど、すべてのプランに含まれています。 それ以外のセキュリティ機能には、GitHub.com のパブリック リポジトリとは別のリポジトリで GitHub Advanced Security ライセンスを実行する必要があります。

GitHub Advanced Security のライセンスを購入する方法については、「GitHub Advanced Security の課金について」を参照してください。

Advanced Security機能について

GitHub Advanced Securityのライセンスでは、以下の機能が追加されます。

  • Code scanning - コードで、潜在的なセキュリティの脆弱性とコーディング エラーを検索します。 詳細については、「code scanning について」を参照してください。

  • Secret scanning - リポジトリ にチェックインしている、キーやトークンなど、シークレットを検出します。 プッシュ保護が有効の場合、リポジトリにプッシュされたシークレットも検出されます。 詳細については、「secret scanningについて」および「secret scanningを使用したプッシュの保護」を参照してください。

  • 依存関係の確認 プル要求をマージする前に、依存関係に対する変更の影響をすべて示し、脆弱なバージョンの詳細を表示します。 詳細については、「依存関係レビューについて」を参照してください。

次の表は、パブリックおよびプライベート リポジトリに対する GitHub Advanced Security 機能の可用性をまとめたものです。

パブリック リポジトリAdvanced Security を使用しないプライベート リポジトリAdvanced Security を使用するプライベート リポジトリ
コード スキャンはいいいえはい
シークレット スキャンはいいいえはい
依存関係の確認はいいいえはい

開発中の Advanced Security 機能の詳細については、「GitHub パブリック ロードマップ」を参照してください。 すべてのセキュリティ機能の概要については、「GitHub セキュリティ機能」を参照してください。

GitHub Advanced Security 機能は、GitHub.com のすべてのパブリック リポジトリで有効になります。 GitHub Enterprise Cloud と Advanced Security を使用する組織では、プライベートおよび内部リポジトリ用のこれらの機能を追加で有効にすることができます。

エンタープライズでの GitHub Advanced Security のデプロイ

GitHub Advanced Security デプロイを概要レベルで計画するために知っておくべきことの詳細と、推奨されるロールアウト フェーズの確認については、「GitHub Advanced Security の大規模な導入」を参照してください。

Advanced Security 機能の有効化 パブリック リポジトリの場合、これらの機能は永続的に有効になり、コードがパブリックでなくなっているようにプロジェクトの可視性を変更した場合にのみ無効にすることができます。

他のリポジトリの場合、Enterprise アカウントのライセンスを取得すると、組織またはリポジトリ レベルでこれらの機能を有効または無効にできます。 詳細については、「組織のセキュリティと分析の設定の管理」および「リポジトリのセキュリティと分析設定を管理する」を参照してください。

Enterprise アカウントをお持ちの場合は、Enterprise ライセンス ページに Enterprise 全体のライセンス使用状況が表示されます。 詳細については、「GitHub Advanced Security 使用状況の表示」を参照してください。

Advanced Security のスターター ワークフローについて

注: Advanced Security のスターター ワークフローは、リポジトリの [アクション] タブの [セキュリティ] カテゴリに統合されています。 この新しい構成は現在ベータ版であり、変更される可能性があります。

GitHub Enterprise Cloud には、code scanning などのセキュリティ機能用のスターター ワークフローが用意されています。 ゼロから始めるのではなく、これらの推奨されるワークフローを使用して、code scanning ワークフローを作成できます。

スターター ワークフローの詳細については、「リポジトリの code scanning の構成」と「スターター ワークフローの使用」を参照してください。

参考資料