リポジトリのセキュリティと分析設定を管理する

          GitHubでプロジェクト内のコードをセキュリティで保護して分析する機能を制御できます。

この機能を使用できるユーザーについて

People with admin permissions to a repository can manage security and analysis settings for the repository.

この記事で

リポジトリのセキュリティと分析設定について

          GitHub には、リポジトリが脆弱性、未承認のアクセス、およびその他の潜在的なセキュリティ脅威からコードを保護するために有効にできるさまざまなセキュリティ機能が用意されています。

プライベート リポジトリのセキュリティ機能と分析機能

          リポジトリに対するセキュリティ機能および分析機能を管理できます。 企業または組織に GitHub Advanced Securityのライセンスがある場合は、追加のオプションを使用できます。 詳しくは、「[AUTOTITLE](/get-started/learning-about-github/about-github-advanced-security)」をご覧ください。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [Security] セクションで、[ Code security] をクリックします。

  4. [Code security] で、機能の右側にある [ 無効] または [有効] をクリックします。 Advanced Securityに使用可能なライセンスがない場合、"企業" のコントロールは無効になります。

    メモ

           Advanced Securityを無効にすると、依存関係の確認、シークレット スキャン、code scanningが無効になります。 

           code scanningのワークフロー、SARIF アップロード、または API 呼び出しは失敗します。 
       Advanced Securityが再度有効になっている場合、code scanningは以前の状態に戻ります。

セキュリティ アラートへのアクセス権の付与

          GitHub セキュリティ アラートは、リポジトリの依存関係またはコードに脆弱性が見つかった場合に通知する自動通知です。 このような issue をレビューして修復するように求められるので、プロジェクトの安全性を維持するのに役立ちます。

          Dependabot、Secret scanning、Code scanningのセキュリティ アラートは、リポジトリの [**<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security**] タブで確認できます。

リポジトリのセキュリティ アラートは、リポジトリへの書き込み、保持、管理アクセス権を持つユーザー、および組織所有のリポジトリである場合は組織の所有者に表示されます。 追加の Team とユーザーにアラートへのアクセスを付与することができます。

メモ

組織の所有者とリポジトリ管理者は、リポジトリへの書き込みアクセス権を持つユーザーまたはチームに対してのみ、 シークレット スキャンニング アラートなどのセキュリティ アラートを表示するアクセス権を付与できます。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [Security] セクションで、[ Code security] をクリックします。

  4. [アラートへのアクセス] の検索フィールドで、探したいユーザーまたはチーム名を入力し始め、一致する名前をリストからクリックします。

  5. [ 変更の保存] をクリックします

セキュリティアラートへのアクセスを削除する

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [Security] セクションで、[ Code security] をクリックします。

  4. [アラートへのアクセス] で、アクセス権を削除するユーザーまたはチームの右側にある [ ] をクリックします。

    アラートへのアクセス権を持つユーザー一覧のスクリーンショット。 @octocat の右側にある x アイコンが濃いオレンジ色の枠線で囲まれています。

  5. [ 変更の保存] をクリックします

参考資料

  •         [AUTOTITLE](/code-security/getting-started/securing-your-repository)

  •         [AUTOTITLE](/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/managing-security-and-analysis-settings-for-your-organization)