セキュリティおよび分析設定の管理について
GitHub は、組織のリポジトリを保護するのに役立つ場合があります。 組織でメンバーが作成する既存または新規のリポジトリすべてについて、セキュリティおよび分析機能を管理できます。 GitHub Advanced Security のライセンスを持っている場合は、これらの機能へのアクセスを管理することもできます。 詳しくは、「GitHub Advanced Security について」を参照してください。
GitHub Advanced Securityのライセンスを持った企業が組織を所有している場合、セキュリティ管理および分析設定の追加オプションを利用できます。 詳細については、「Enterprise 用の GitHub Advanced Security 機能の管理」を参照してください。
Note
パブリック リポジトリで既定で有効になっているセキュリティと分析の機能には、無効にできないものがあります。
GitHub-recommended security configuration (organization 内のリポジトリに適用できるセキュリティ有効化設定のコレクション) を使用すると、セキュリティ機能を大規模にすばやく有効にすることができます。 その後、global settings を使用して、さらに組織レベルで GitHub Advanced Security 機能をカスタマイズできます。 「大規模なセキュリティ機能の有効化について」をご覧ください。
セキュリティ機能と分析機能を有効にした場合、GitHub はリポジトリで読み取り専用分析を実行します。
Dependabot がプライベート または内部 依存関係にアクセスできるようにする
Dependabot は、プロジェクト内の古い依存関係参照をチェックし、それらを更新するためのプルリクエストを自動的に生成できます。 これを行うには、Dependabot がすべてのターゲット依存関係ファイルにアクセスできる必要があります。 通常、1 つ以上の依存関係にアクセスできない場合、バージョン更新は失敗します。 詳しくは、「GitHub Dependabot のバージョンアップデートについて」をご覧ください。
既定では、Dependabot は、プライベート または内部 リポジトリ、またはプライベート または内部 パッケージ レジストリにある依存関係を更新できません。 ただし、依存関係が、その依存関係を使用するプロジェクトと同じ組織内のプライベート または内部の GitHub リポジトリにある場合は、ホストリポジトリへのアクセスを許可することで、Dependabot がバージョンを正常に更新できるようにすることができます。
コードがプライベート または内部の レジストリ内のパッケージに依存している場合は、リポジトリレベルでこれを設定することにより、Dependabot がこれらの依存関係のバージョンを更新できるようにすることができます。 これを行うには、リポジトリの dependabot.yml ファイルに認証の詳細を追加します。 詳しくは、「Dependabot options reference」をご覧ください。
Note
プライベートまたは内部のリポジトリへのアクセス権を Dependabot に付与するオプションを使用できるようにするには、organization 内の少なくとも 1 つのリポジトリで Dependabot version updates または Dependabot security updates を有効にする必要があります。
プライベートまたは内部依存関係に Dependabot アクセスを許可する方法の詳細については、「組織のグローバル セキュリティ設定の構成」を参照してください。
組織内の個々のリポジトリから GitHub Advanced Security へのアクセスを削除する
security configurations を使用して、organization 内の個々のリポジトリから GitHub Advanced Security へのアクセスを削除できます。 詳しくは、「GitHub Advanced Security ライセンスの使用を管理する」をご覧ください。