GitHub Advanced Security について
GitHubには、コードの質を改善し維持できる多くの機能があります。 これらの一部は、依存関係グラフや Dependabot alertsなど、すべてのプランに含まれています。 それ以外のセキュリティ機能には、GitHub.com のパブリック リポジトリとは別のリポジトリで GitHub Advanced Security ライセンスを実行する必要があります。
GitHub Advanced Security のライセンスの購入については、「GitHub Advanced Security へのサインアップ」をご覧ください。
Advanced Security機能について
GitHub Advanced Securityのライセンスでは、以下の機能が追加されます。
-
Code scanning - コードで、潜在的なセキュリティの脆弱性とコーディング エラーを検索してください。 詳しくは、「コード スキャンについて」を参照してください。
-
Secret scanning - リポジトリ にチェックインしている、キーやトークンなど、シークレットを検出します。 プッシュ保護が有効の場合、リポジトリにプッシュされたシークレットも検出されます。 詳しくは、「シークレット スキャンについて」と「シークレット スキャンによるプッシュの保護」をご覧ください。
-
依存関係の確認 プル要求をマージする前に、依存関係に対する変更の影響をすべて示し、脆弱なバージョンの詳細を表示します。 詳しくは、「依存関係の確認について」を参照してください。
次の表は、パブリックおよびプライベート リポジトリに対する GitHub Advanced Security 機能の可用性をまとめたものです。
| パブリック リポジトリ | プライベート リポジトリ Advanced Security なし | プライベート リポジトリ Advanced Security あり | |
|---|---|---|---|
| コード スキャン | |||
| シークレット スキャン | |||
| 依存関係の確認 |
開発中の Advanced Security 機能の詳細については、「GitHub パブリック ロードマップ」を参照してください。 すべてのセキュリティ機能の概要については、「GitHub セキュリティ機能」をご覧ください。
GitHub Advanced Security 機能は、GitHub.com のすべてのパブリック リポジトリで有効になります。 GitHub Enterprise Cloud と Advanced Security を使用する組織では、プライベートおよび内部リポジトリ用のこれらの機能を追加で有効にすることができます。
エンタープライズでの GitHub Advanced Security のデプロイ
概要レベルで GitHub Advanced Security のデプロイの計画について知っておく必要があることと、推奨されるロールアウト フェーズの確認については、「大規模な GitHub Advanced Security の導入」をご覧ください。
Advanced Security 機能の有効化 パブリック リポジトリの場合、これらの機能は永続的に有効になり、コードがパブリックでなくなっているようにプロジェクトの可視性を変更した場合にのみ無効にすることができます。
他のリポジトリの場合、Enterprise アカウントのライセンスを取得すると、組織またはリポジトリ レベルでこれらの機能を有効または無効にできます。詳しくは、「Organization のセキュリティおよび分析設定を管理する」と「リポジトリのセキュリティと分析設定を管理する」をご覧ください。
Enterprise アカウントをお持ちの場合は、Enterprise ライセンス ページに Enterprise 全体のライセンス使用状況が表示されます。 詳しくは、「GitHub Advanced Security の使用状況を表示する」を参照してください。
Advanced Security のスターター ワークフローについて
注: Advanced Security のスターター ワークフローは、リポジトリの [アクション] タブの [セキュリティ] カテゴリに統合されています。 この新しい構成は現在ベータ版であり、変更される可能性があります。
スターター ワークフローについて詳しくは、「リポジトリの code scanning を構成する」と「スターター ワークフローの使用」をご覧ください。