custom security configurations
について
custom security configurations を使うと、GitHub のセキュリティ製品の有効化設定のコレクションを作成して、Enterprise で必要な特定のセキュリティを満たすことができます。 たとえば、organization または organization のグループごとに異なる custom security configuration を作成して、それらに固有のセキュリティ要件とコンプライアンス義務を反映できます。
セキュリティ構成を作成するときは、次の点に注意してください。
- サイト管理者が GitHub Enterprise Server インスタンスにインストールされた機能のみが UI に表示されます。
- GitHub Advanced Security の機能は、Enterprise または GitHub Enterprise Server インスタンスが GitHub Advanced Security ライセンスを持っている場合にのみ表示されます。
- Dependabot security updates や code scanning の既定のセットアップなど、一部の機能では、GitHub Actions が GitHub Enterprise Server インスタンスにインストールされている必要があります。
custom security configuration の作成
Note
一部のセキュリティ機能の有効化状態は、他の上位レベルのセキュリティ機能に依存します。 たとえば、シークレット スキャンニング アラート を無効にすると、プロバイダー以外のパターンとプッシュ保護も無効になります。
-
の右上で、ご自分のプロフィール フォトをクリックしてから、 [Enterprise 設定] をクリックします。
-
ページの左側にある Enterprise アカウントのサイドバーで、 [設定] をクリックします。
-
左側のサイドバーで、[Code security] をクリックします。
-
[Configurations] セクションで、[New configuration] をクリックします。
-
[Configurations] ページで custom security configuration を見つけやすくし、その目的を明確にするため、構成に名前を付けて説明を作成します。
-
[GitHub Advanced Security 機能] 行で、GitHub Advanced Security (GHAS) 機能を含めるか除外するかを選択します。 GHAS 機能を持つ custom security configuration をプライベート リポジトリに適用する場合は、それらのリポジトリに対するアクティブな一意のコミッターごとに使用可能な GHAS ライセンスが必要です。そうでないと、機能は有効になりません。 「GitHub Advanced Security の課金について」を参照してください。
-
セキュリティ設定テーブルの [Dependency graph and Dependabot] セクションで、次のセキュリティ機能について、有効にするか、無効にするか、既存の設定を維持するかを選びます。
- Dependabot alerts。 Dependabot の詳細については、「Dependabot アラートについて」を参照してください。
Note
Dependabot 自動トリアージ ルール は、Enterprise レベルの設定では使用できません。 Enterprise レベルのセキュリティ構成がリポジトリに適用されている場合でも、Dependabot 自動トリアージ ルール を有効にできますが、Enterprise のレベルでこれらの規則をオフにすることはできません。
- セキュリティ更新プログラム。 セキュリティ アップデートの詳細については、「Dependabot のセキュリティ アップデート」を参照してください。
Note
依存関係グラフの有効化設定を手動で変更することはできません。 この設定は、インスタンス レベルでサイト管理者によってインストールおよび管理されます。
-
セキュリティの設定テーブルの [Code scanning] セクションで、code scanning の既定のセットアップについて、有効にするか、無効にするか、既存の設定を保持するかを選択します。 既定のセットアップの詳細については、「コード スキャンの既定セットアップの構成」を参照してください。
-
セキュリティの設定テーブルの [Secret scanning] セクションで、次のセキュリティ機能について、有効にするか、無効にするか、既存の設定を保持するかを選択します。
- アラート。 シークレット スキャンニング アラート の詳細については、「シークレット スキャンについて」を参照してください。
- プロバイダー以外のパターン。 プロバイダー以外のパターンのスキャンの詳細については、「サポートされているシークレット スキャン パターン」と「シークレット スキャンからのアラートの表示とフィルター処理」を参照してください。
- プッシュ保護。 プッシュ保護の詳細については、「プッシュ保護について」を参照してください。
-
必要に応じて、[ポリシー] セクションで、新しく作成されたリポジトリに security configuration を可視性に応じて自動的に適用することを選択できます。 [None] ドロップダウン メニューを選び、[Public] または [Private and internal]、または [All repositories] をクリックします。
-
必要に応じて、[ポリシー] セクションで、構成を適用し、リポジトリ所有者が構成によって有効または無効になっている機能を変更できないようにすることができます (設定されていない機能は適用されません)。 [構成の強制] の横にあるドロップダウン メニューから [強制] を選択します。
Note
Enterprise 内のユーザーが REST API を使って、適用対象の構成で機能の有効化状態を変更しようとした場合、API 呼び出しは成功したように見えますが、有効化状態は変更されません。
状況によっては、リポジトリに対する security configurations の適用が中断される場合があります。 たとえば、次の場合、code scanning の有効化はリポジトリには適用されません。
- GitHub Actions は、最初はリポジトリで有効になっていますが、その後、リポジトリで無効になります。
- code scanning 構成に必要な GitHub Actions は、リポジトリで使用できません。
- ラベル
code-scanning
が付いたセルフホステッド ランナーは使用できません。 - code scanning の既存のセットアップを使用して言語を分析することができない定義が変更されます。
-
custom security configuration の作成を完了するには、[構成の保存] をクリックします。
次のステップ
必要に応じて、Enterprise に追加の secret scanning 設定を構成するには、「Enterprise 用の追加のシークレット スキャン設定の構成」を参照してください。
Organization 内のリポジトリに custom security configuration を適用するには、「カスタム セキュリティ構成の適用」を参照してください。
custom security configuration の編集方法については、「カスタム セキュリティ構成の編集」を参照してください。