リポジトリを保護する

リポジトリをセキュアに保つために、いくつものGitHubの機能が利用できます。

Repository administrators and organization owners can configure repository security settings.

はじめに

このガイドは、リポジトリでのセキュリティ機能の設定方法を紹介します。 リポジトリのセキュリティ設定を構成するには、リポジトリ管理者かOrganizationのオーナーでなければなりません。

セキュリティの要件はリポジトリに固有のものなので、リポジトリですべての機能を有効化する必要はないかもしれません。 詳しい情報については「GitHubのセキュリティ機能」を参照してください。

Some security features are only available if you have an Advanced Security license. 詳しい情報については、「GitHub Advanced Security について」を参照してください。

リポジトリへのアクセスの管理

リポジトリを保護するための最初の手順は、コードを表示および変更できるユーザを設定することです。 詳しい情報については、「リポジトリ設定を管理する」を参照してください。

リポジトリのメインページから、Settings(設定)をクリックし、続いて"Danger Zone(危険区域)"まで下へスクロールしてください。

  • リポジトリを見ることができる人を変更するにはChange visibility(可視性を変更)をクリックしてください。 詳しい情報については「リポジトリの可視性の設定」を参照してください。

セキュリティポリシーの設定

  1. リポジトリのメインページから Security(セキュリティ)をクリックしてください。
  2. Security policy(セキュリティポリシー)をクリックしてください。
  3. Start setup(セットアップの開始)をクリックします。
  4. プロジェクトのサポートされているバージョンに関する情報と、脆弱性の報告方法に関する情報を追加してください。

詳しい情報については「リポジトリにセキュリティポリシーを追加する」を参照してください。

依存関係グラフの管理

The dependency graph and Dependabotアラート are configured at an enterprise level by the enterprise owner. For more information, see "Enabling the dependency graph and Dependabotアラート on your enterprise account."

詳しい情報については、「リポジトリの依存関係を調べる」を参照してください。

Dependabotアラートの管理

The dependency graph and Dependabotアラート are configured at an enterprise level by the enterprise owner. For more information, see "Enabling the dependency graph and Dependabotアラート on your enterprise account."

詳しい情報については「脆弱な依存関係に対するアラートについて」を参照してください。

code scanning を設定する

Code scanningは、Advanced Securityライセンスを持つOrganizationが所有するリポジトリで利用できます。

CodeQL分析ワークフローもしくはサードパーティのツールを使い、リポジトリ中に保存されたコードの脆弱性やエラーを自動的に特定するよう、code scanningをセットアップできます。 詳しい情報については、「リポジトリに対する code scanning をセットアップする」を参照してください。

secret scanningの設定

Secret scanningは、Advanced Securityライセンスを持つOrganizationが所有するリポジトリで利用できます。

Secret scanningはOrganizationの設定によって、デフォルトでリポジトリに対して有効にできます。

  1. リポジトリのメインページから、 Settings(設定)をクリックしてください。
  2. Security & analysis(セキュリティと分析)をクリックしてください。
  3. まだGitHub Advanced Securityが有効化されていなければ、Enable(有効化)をクリックしてください。
  4. Secret scanningの隣でEnable(有効化)をクリックしてください。

次のステップ

セキュリティの機能からのアラートを表示及び管理して、コード中の依存関係と脆弱性に対処できます。 For more information, see "Viewing and updating vulnerable dependencies in your repository," "Managing code scanning for your repository," and "Managing alerts from secret scanning."

このドキュメントは役立ちましたか?

プライバシーポリシー

これらのドキュメントを素晴らしいものにするのを手伝ってください!

GitHubのすべてのドキュメントはオープンソースです。間違っていたり、はっきりしないところがありましたか?Pull Requestをお送りください。

コントリビューションを行う

OR, コントリビューションの方法を学んでください。

問題がまだ解決していませんか?