GitHub Advanced Security について
GitHubには、コードの質を改善し維持できる多くの機能があります。 依存関係グラフや Dependabot alertsなど、これらの一部はすべてのプランに含まれています。 それ以外のセキュリティ機能には、GitHub Advanced Security (GHAS) が必要です。
GitHub Advanced Security のライセンスの購入については、「GitHub Advanced Security の課金について」を参照してください。
Note
Azure Reposと GitHub Advanced Security を使用する場合は、リソース サイトの「GitHub Advanced Security と Azure DevOps」を参照してください。 ドキュメントについては、Microsoft Learn で「GitHub Advanced Security for Azure DevOps を構成する」を参照してください。
Advanced Security機能について
GitHub Advanced Security ライセンスには、次の追加機能が用意されています:
-
Code scanning - CodeQL またはサードパーティ ツールを使用して、潜在的なセキュリティの脆弱性とコーディング エラーを検索してください。 「コード スキャンについて」と「CodeQL によるコード スキャンについて」を参照してください。
-
CodeQL CLI - ソフトウェア プロジェクトで CodeQL プロセスをローカル実行したり、code scanning の結果を生成し、GitHub Enterprise Server にアップロードしたりします。 「CodeQL CLI について」を参照してください。
-
Secret scanning - リポジトリ にチェックインしている、キーやトークンなど、シークレットを検出します。 プッシュ保護が有効な場合、シークレットがリポジトリにプッシュされたときにも GitHub によって検出されます。 「シークレット スキャンについて」と「プッシュ保護について」を参照してください。
-
依存関係の確認 プル要求をマージする前に、依存関係に対する変更の影響をすべて示し、脆弱なバージョンの詳細を表示します。 「依存関係の確認について」を参照してください。
開発中の Advanced Security 機能の詳細については、「GitHub パブリック ロードマップ」を参照してください。 すべてのセキュリティ機能の概要については、「GitHub セキュリティ機能」を参照してください。
エンタープライズでの GitHub Advanced Security のデプロイ
概要レベルで GitHub Advanced Security の配置の計画について知っておく必要があることと、推奨されるロールアウト フェーズの確認については、「大規模な GitHub Advanced Security の導入」を参照してください。
Advanced Security 機能の有効化
この機能を使用する前に、サイト管理者が お使いの GitHub Enterprise Server インスタンスの Advanced Security を有効にする必要があります。 「自社で GitHub Advanced Security を管理する」を参照してください。
システムを設定すると、Organizationまたはリポジトリのレベルでこの機能を有効化または無効化することができます。「組織のセキュリティおよび分析設定を管理する」と「リポジトリのセキュリティと分析設定を管理する」を参照してください。
Enterprise アカウントをお持ちの場合は、Enterprise ライセンスページに Enterprise 全体のライセンス使用状況が表示されます。 「GitHub Advanced Security の使用状況を表示する」を参照してください。