GitHub Advanced Security について

GitHubには、コードの質を改善し維持できる多くの機能があります。依存関係グラフや Dependabot alertsなど、これらの一部はすべてのプランに含まれています。それ以外のセキュリティ機能には、GitHub Advanced Security (GHAS) が必要です。

GitHub Advanced Security のライセンスの購入については、「GitHub Advanced Security の課金について」をご覧ください。

Note

Azure Reposと GitHub Advanced Security を使用する場合は、リソースサイトの「GitHub Advanced Security と Azure DevOps」を参照してください。ドキュメントについては、Microsoft Learn で「GitHub Advanced Security for Azure DevOps を構成する」を参照してください。

Advanced Security機能について

GitHub Advanced Security ライセンスには、次の追加機能が用意されています:

Code scanning - CodeQL またはサードパーティツールを使用して、潜在的なセキュリティの脆弱性とコーディングエラーを検索してください。「コードスキャンについて」および「CodeQL によるコードスキャンについて」を参照してください。
CodeQL CLI - ソフトウェアプロジェクトで CodeQL プロセスをローカル実行したり、code scanning の結果を生成し、GitHub Enterprise Server にアップロードしたりします。「CodeQL CLI について」をご覧ください。
Secret scanning - リポジトリにチェックインしている、キーやトークンなど、シークレットを検出します。プッシュ保護が有効な場合、シークレットがリポジトリにプッシュされたときにも GitHub によって検出されます。「シークレットスキャンについて」および「プッシュ保護について」を参照してください。
依存関係の確認 プル要求をマージする前に、依存関係に対する変更の影響をすべて示し、脆弱なバージョンの詳細を表示します。「依存関係の確認について」をご覧ください。

開発中の Advanced Security 機能の詳細については、「GitHub パブリックロードマップ」を参照してください。すべてのセキュリティ機能の概要については、「GitHub セキュリティ機能」をご覧ください。

概要レベルで GitHub Advanced Security のデプロイの計画について知っておく必要があることと、推奨されるロールアウトフェーズの確認については、「大規模な GitHub Advanced Security の導入」をご覧ください。

この機能を使用する前に、サイト管理者がお使いの GitHub Enterprise Server インスタンスの Advanced Security を有効にする必要があります。「自社で GitHub Advanced Security を管理する」をご覧ください。

システムを設定すると、Organizationまたはリポジトリのレベルでこの機能を有効化または無効化することができます。「組織のセキュリティおよび分析設定を管理する」および「リポジトリのセキュリティと分析設定を管理する」を参照してください。

Enterprise アカウントをお持ちの場合は、Enterprise ライセンスページに Enterprise 全体のライセンス使用状況が表示されます。「GitHub Advanced Security の使用状況を表示する」をご覧ください。