はじめに
このガイドは、リポジトリでのセキュリティ機能の設定方法を紹介します。 リポジトリのセキュリティ設定を構成するには、リポジトリ管理者かOrganizationのオーナーでなければなりません。
セキュリティの要件はリポジトリに固有のものなので、リポジトリですべての機能を有効化する必要はないかもしれません。 詳しくは、「GitHub セキュリティ機能」をご覧ください。
一部の機能は、すべてのリポジトリに使用できます。 その他の機能は、GitHub Advanced Security を使うエンタープライズに使用できます。 詳しくは、「GitHub Advanced Security について」を参照してください。
リポジトリへのアクセスの管理
リポジトリを保護するための最初の手順は、誰がコードを表示および変更できるかを確立することです。 詳しくは、「リポジトリの設定と機能を管理する」をご覧ください。
リポジトリのメイン ページで、[ Settings] をクリックし、[Danger Zone] まで下にスクロールします。
- リポジトリを表示できるユーザーを変更するには、 [可視性の変更] をクリックします。 詳しくは、「リポジトリの可視性を設定する」をご覧ください。
- リポジトリにアクセスできるユーザーを変更し、権限を調整するには、 [アクセスの管理] をクリックします。 詳しくは、「リポジトリへのアクセス権を持つ Team と人を管理する」を参照してください。
依存関係グラフの管理
Enterprise 所有者は、Enterprise の 依存関係グラフとDependabot alertsを構成できます。 詳細については、「企業の依存関係グラフの有効化」と「エンタープライズ向けの Dependabot の有効化」を参照してください。
詳しくは、「リポジトリの依存関係を調べる」をご覧ください。
Dependabot alertsの管理
GitHub によって脆弱性のある依存関係が依存関係グラフで特定されたときに、Dependabot alerts が生成されます。
さらに、Dependabot 自動トリアージ ルール を使用してアラートを大規模に管理できるため、アラートを自動的に閉じたりスヌーズしたりして、pull requestを開く Dependabot アラートを指定できます。 さまざまな種類の自動トリアージ ルールと、およびリポジトリが適格かどうかについては、「Dependabot 自動トリアージ ルールについて」を参照してください。
Dependabot によって提供されるさまざまな機能の概要と、開始方法の手順については、「Dependabot クイックスタート ガイド」を参照してください。
エンタープライズ所有者は、エンタープライズの依存関係グラフと Dependabot alerts を構成する必要があります。
Dependabot alerts が構成されたら、リポジトリ管理者と organization 所有者は、[Code security and analysis] 設定ページで、プライベートと内部のリポジトリに対して Dependabot alerts を有効にできます。 パブリック リポジトリは既定で有効になっています。 詳しくは、「企業の依存関係グラフの有効化」、「エンタープライズ向けの Dependabot の有効化」、「Dependabot アラートの構成」をご覧ください。
詳しくは、「Dependabot アラートについて」を参照してください。
依存関係レビューの管理
依存関係レビューを使うと、Pull Requestがリポジトリにマージされる前に、Pull Request内での依存関係の変化を可視化できます。 詳しくは、「依存関係の確認について」をご覧ください。
依存関係レビューは GitHub Advanced Security 機能です。 リポジトリに依存関係レビューを有効にするには、依存関係グラフが有効になっていることを確認し、GitHub Advanced Securityを有効にします。
- リポジトリのメイン ページで、 [設定] をクリックします。
- [Code security and analysis] をクリックします。
- 依存関係グラフが Enterprise 用に構成されていることを確認します。
- まだ GitHub Advanced Security が有効になっていない場合は、 [有効化] をクリックします。
Dependabot security updatesの管理
Dependabot alertsを使用するリポジトリでは、Dependabot security updatesを有効化して脆弱性が検出された際にセキュリティ更新でPull Requestを発行させることができます。
- リポジトリのメイン ページで、 [設定] をクリックします。
- [Code security and analysis] をクリックします。
- Dependabot security updates の横にある [有効化] をクリックします。
詳細については、「Dependabot のセキュリティ アップデート」および「Configuring Dependabot security updates (Dependabot セキュリティ アップデートの構成)」を参照してください。
Dependabot version updatesの管理
Dependabotを有効化して、依存関係を最新の状態に保つためのPull Requestを自動的に発行するようにできます。 詳しくは、「GitHub Dependabot のバージョンアップデートについて」をご覧ください。
Dependabot version updates を有効にするには、dependabot.yml
構成ファイルを作成する必要があります。 詳しくは、「Dependabot のバージョン アップデートの設定」をご覧ください。
code scanning の構成
Note
Code scanning は、を Enterprise で使用する場合は Organization 所有のリポジトリ に対するライセンスを持つ Enterprise の一部である Organization が所有するプライベート リポジトリで使用可能です。
CodeQL 分析ワークフローまたはサードパーティ ツールを使ってリポジトリ内に格納されているコードの脆弱性とエラーを自動的に特定するように code scanning を構成できます。 リポジトリ内のプログラミング言語に応じて、デフォルトの設定を使用して code scanning と CodeQL を構成できます。この設定では、スキャンする言語、実行するクエリ スイート、および新しいスキャンをトリガーするイベントが GitHub によって自動的に決定されます。 詳しくは、「コード スキャンの既定セットアップの構成」をご覧ください。
- リポジトリのメイン ページで、 [設定] をクリックします。
- サイドバーの [Security] セクションで、[ Code security and analysis] をクリックします。
- [Code scanning] セクションで [設定] を選び、 [既定] をクリックします。
- 表示されるポップアップ ウィンドウで、リポジトリの既定の構成設定を確認し、 [CodeQL を有効にする] をクリックします。
または、編集可能なワークフロー ファイルを生成する詳細設定を使用して、CodeQL を使用してcode scanningをカスタマイズすることもできます。 詳しくは、「コード スキャンの高度なセットアップの構成」をご覧ください。
secret scanningの設定
Secret scanning は、次のリポジトリに使うことができます:
- GitHub Advanced Security が有効な状態の組織所有リポジトリ
-
リポジトリのメイン ページで、 [設定] をクリックします。
-
[Code security and analysis] をクリックします。
-
まだ GitHub Advanced Security が有効になっていない場合は、 [有効にする] をクリックします。
-
Secret scanning の横にある [有効化] をクリックします。
セキュリティポリシーの設定
リポジトリの保守管理者であれば、リポジトリに SECURITY.md
という名前のファイルを作成して、リポジトリのセキュリティ ポリシーを指定することをお勧めします。 このファイルは、ユーザーがリポジトリのセキュリティ脆弱性を報告したいときに、リポジトリの保守管理者と連絡を取って共同作業を行うにはどうすれば一番良いかを指示します。 リポジトリのセキュリティ ポリシーは、リポジトリの [Security] タブから確認できます。
- リポジトリのメイン ページで、[ Security] をクリックします。
- [セキュリティ ポリシー] をクリックします。
- [Start setup] (セットアップの開始) をクリックします。
- プロジェクトのサポートされているバージョンに関する情報と、脆弱性の報告方法に関する情報を追加してください。
詳しくは、「リポジトリへのセキュリティ ポリシーの追加」をご覧ください。
次のステップ
セキュリティの機能からのアラートを表示及び管理して、コード中の依存関係と脆弱性に対処できます。 詳しくは、「Dependabot アラートの表示と更新」、「依存関係の更新に関するPull Requestを管理する」、「リポジトリのコード スキャンのアラートの評価」、「シークレット スキャンからのアラートの管理」を参照してください。
また、GitHub のツールを使用して、セキュリティ アラートへの応答を監査することもできます。 詳しくは、「セキュリティ アラートの監査」をご覧ください。
GitHub Actionsを使用する場合、GitHubのセキュリティ機能を使用して、ワークフローのセキュリティを強化できます。 詳しくは、「GitHub のセキュリティ機能を使用して GitHub Actions の使用をセキュリティで保護する」を参照してください。