リポジトリのセキュリティと分析設定を管理する

この記事の内容

GitHub 上のプロジェクトのコードをセキュリティ保護し分析する機能を管理できます。

この機能を使用できるユーザー

People with admin permissions to a repository can manage security and analysis settings for the repository.

注: エンタープライズ レベルで Dependabot alerts を有効または無効にすると、Dependabot alerts のリポジトリ レベルの設定はオーバーライドされます。 詳しくは、「Dependabot アラートの構成」を参照してください。

パブリックリポジトリのセキュリティおよび分析機能を有効または無効にする

パブリックリポジトリのセキュリティおよび分析機能の、サブセットを管理できます。 依存関係グラフや パートナーに対するシークレット スキャン アラート など、その他の機能は永続的に有効になっています。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。
  2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。 タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。
  3. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
  4. [コードのセキュリティと分析] の下で、機能の右にある [無効] または [有効] をクリックします。

プライベートリポジトリの

セキュリティおよび分析機能を有効または無効にする

プライベートおよび内部 リポジトリのセキュリティ機能と分析機能を管理できます。 組織が GitHub Advanced Security のライセンスを持つ企業に所属している場合は、追加のオプションを使用できます。 詳しくは、「GitHub Advanced Security について」を参照してください。

セキュリティ機能と分析機能を有効にした場合、GitHub はリポジトリで読み取り専用分析を実行します。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。

  2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。 タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

  4. [コードのセキュリティと分析] の下で、機能の右にある [無効] または [有効] をクリックします。 エンタープライズに使用できる Advanced Security のライセンスがない場合、[GitHub Advanced Security] コントロールは無効です。

注: GitHub Advanced Security を無効にした場合、依存関係レビュー、ユーザーに対するシークレット スキャン アラート、code scanning が無効になります。 あらゆるワークフロー、SARIF のアップロード、code scanning への API の呼び出しが失敗することになります。

セキュリティ アラートへのアクセス権の付与

リポジトリのセキュリティ アラートは、リポジトリへの書き込み、保守、または管理アクセス権を持つユーザー、および組織所有のリポジトリである場合は組織の所有者に表示されます。 追加の Team とユーザーにアラートへのアクセスを付与することができます。

組織の所有者とリポジトリ管理者は、リポジトリへの書き込みアクセス権を持つユーザーまたはチームに対して、シークレット スキャン アラート アラートなどのセキュリティ アラートを表示する権限のみを付与できます。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。
  2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。 タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。
  3. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
  4. [Access to alerts] の検索フィールドで、検索するユーザまたは Team 名の入力を開始し、リストから一致する名前をクリックします。
  5. [変更を保存] をクリックします。

セキュリティアラートへのアクセスを削除する

  1. GitHub.com で、リポジトリのメイン ページへ移動します。

  2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。 タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

  4. [アラートへのアクセス] で、アクセスを削除するユーザーまたはチームの右側にある [] をクリックします。

    アラートへのアクセス権を持つユーザー一覧のスクリーンショット。 @octocat の右側にある x アイコンが濃いオレンジ色の枠線で囲まれています。

  5. [変更を保存] をクリックします。

リポジトリ内のパートナー パターンの有効性チェックの許可

注: パートナー パターンの有効性チェックは現在ベータ版であり、変更される可能性があります。

パートナー パターンの有効性チェックは、GitHub.com のすべての種類のリポジトリで使用できます。 この機能を使用するには、GitHub Advanced Security のライセンスが必要です。

関連するパートナーに送信することで、secret scanning にリポジトリ内で見つかったシークレットの有効性を自動的に確認することができます。 または、組織の所有者とエンタープライズ管理者は、組織またはエンタープライズ設定内のすべてのリポジトリに対してこの機能を有効にすることができます。 詳細については、「組織内のパートナー パターンの有効性チェックを許可する」と「Enterprise 用の GitHub Advanced Security 機能の管理」を参照してください。

注: リポジトリの自動有効性チェックを有効にすると、そのリポジトリで検出されたパターンに対してオンデマンドの有効性チェックを実行もできます。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。
  2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。 タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。
  3. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
  4. Secret scanning で、「関連するパートナーに送信することでシークレットが有効かどうかを自動的に検証する」の横のチェックボックスをオンにします。

参考資料