custom security configurations
について
custom security configurations を使用すると、GitHub のセキュリティ製品の有効化設定のコレクションを作成して、Organization の特定のセキュリティ ニーズを満たすことができます。 たとえば、リポジトリのグループごとに異なる custom security configuration を作成し、さまざまなレベルの可視性、リスク許容度、および影響を反映できます。
セキュリティ構成を作成するときは、次の点に注意してください。
- サイト管理者が GitHub Enterprise Server インスタンスにインストールされた機能のみが UI に表示されます。
- GitHub Advanced Security の機能は、organization または GitHub Enterprise Server インスタンスが GitHub Advanced Security ライセンスを保持している場合にのみ表示されます。
- Dependabot security updates や code scanning の既定のセットアップなど、一部の機能では、GitHub Actions が GitHub Enterprise Server インスタンスにインストールされている必要があります。
custom security configuration の作成
Note
一部のセキュリティ機能の有効化状態は、他の上位レベルのセキュリティ機能に依存します。 たとえば、シークレット スキャンニング アラート を無効にすると、プロバイダー以外のパターンとプッシュ保護も無効になります。
-
GitHub の右上隅で、プロフィール写真を選択し、 あなたの組織をクリックします。
-
組織名の下で、 [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
![組織のプロファイルのタブのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で囲まれています。](/assets/cb-49309/images/help/discussions/org-settings-global-nav-update.png)
-
サイドバーの [セキュリティ] セクションで、ドロップダウン メニューの [コード セキュリティ] を選択し、次に [構成] をクリックします。
-
[コード セキュリティ構成] セクションで、[新しい構成] をクリックします。
-
custom security configuration を特定し、その目的を [コード security configurations] ページで明確にするには、構成に名前を付けて説明を作成します。
-
[GitHub Advanced Security 機能] 行で、GitHub Advanced Security (GHAS) 機能を含めるか除外するかを選択します。 GHAS 機能を持つ custom security configuration をプライベート リポジトリに適用する場合は、それらのリポジトリに対するアクティブな一意のコミッターごとに使用可能な GHAS ライセンスが必要です。そうでないと、機能は有効になりません。 「GitHub Advanced Security の課金について」を参照してください。
-
セキュリティの設定テーブルの [Dependency graph and Dependabot] セクションで、次のセキュリティ機能について、有効にするか、無効にするか、既存の設定を保持するかを選びます。
- Dependabot alerts。 Dependabot の詳細については、「Dependabot アラートについて」を参照してください。
- セキュリティ更新プログラム。 セキュリティ アップデートの詳細については、「Dependabot のセキュリティ アップデート」を参照してください。
Note
依存関係グラフの有効化設定を手動で変更することはできません。 この設定は、インスタンス レベルでサイト管理者によってインストールおよび管理されます。
-
セキュリティの設定テーブルの [Code scanning] セクションで、code scanning の既定のセットアップについて、有効にするか、無効にするか、既存の設定を保持するかを選択します。 既定のセットアップの詳細については、「コード スキャンの既定セットアップの構成」を参照してください。
-
セキュリティの設定テーブルの [Secret scanning] セクションで、次のセキュリティ機能について、有効にするか、無効にするか、既存の設定を保持するかを選択します。
- アラート。 シークレット スキャンニング アラート の詳細については、「シークレット スキャンについて」を参照してください。
- プロバイダー以外のパターン。 プロバイダー以外のパターンのスキャンの詳細については、「サポートされているシークレット スキャン パターン」と「シークレット スキャンからのアラートの表示とフィルター処理」を参照してください。
- プッシュ保護。 プッシュ保護の詳細については、「プッシュ保護について」を参照してください。
-
必要に応じて、[ポリシー] セクションで、新しく作成されたリポジトリに security configuration を可視性に応じて自動的に適用することを選択できます。 [None] ドロップダウン メニューを選び、[Public] または [Private and internal]、または [All repositories] をクリックします。
Note
Organization での既定の security configuration は、organization で作成された新しいリポジトリにのみ自動的に適用されます。 リポジトリが組織に転送された場合でも、リポジトリに対し適切な security configuration を手動で適用する必要があります。
-
必要に応じて、[ポリシー] セクションで、構成を適用し、リポジトリ所有者が構成によって有効または無効になっている機能を変更できないようにすることができます (設定されていない機能は適用されません)。 [構成の強制] の横にあるドロップダウン メニューから [強制] を選択します。
Note
Organization 内のユーザーが REST API を使用して、適用された構成の機能の有効化状態を変更しようとすると、API コールは成功したように見えますが、有効化状態は変更されません。
状況によっては、リポジトリに対する security configurations の適用が中断される場合があります。 たとえば、次の場合、code scanning の有効化はリポジトリには適用されません。
- GitHub Actions は、最初はリポジトリで有効になっていますが、その後、リポジトリで無効になります。
- code scanning 構成に必要な GitHub Actions は、リポジトリで使用できません。
- ラベル
code-scanningが付いたセルフホステッド ランナーは使用できません。 - code scanning の既存のセットアップを使用して言語を分析することができない定義が変更されます。
-
custom security configuration の作成を完了するには、[構成の保存] をクリックします。
![組織のプロファイルのタブのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で囲まれています。](/assets/cb-49309/mw-1440/images/help/discussions/org-settings-global-nav-update.webp)
次のステップ
Organization 内のリポジトリに custom security configuration を適用するには、「カスタム セキュリティ構成の適用」を参照してください。
custom security configuration の編集方法を確認するには、「カスタム セキュリティ構成の編集」を参照してください。