Skip to main content

GitHub セキュリティ機能

GitHubのセキュリティ機能の概要。

GitHubのセキュリティ機能について

GitHubは、リポジトリ内及びOrganizationに渡ってコードとシークレットをセキュアに保つのに役立つ機能があります。 一部の機能は、すべてのリポジトリに使用できます。 その他の機能は、GitHub Advanced Security を使うエンタープライズに使用できます。 詳細については、「GitHub Advanced Security について」を参照してください。

GitHub Advisory Databaseには、表示、検索、フィルタできる精選されたセキュリティ脆弱性のリストが含まれます。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」をご覧ください。

すべてのリポジトリで使用可能

セキュリティ ポリシー

リポジトリで見つけたセキュリティの脆弱性を、ユーザが内密に報告しやすくします。 詳細については、「リポジトリへのセキュリティ ポリシーの追加」を参照してください。

Dependabot alerts およびセキュリティアップデート

セキュリティの脆弱性を含むことを把握している依存関係に関するアラートを表示し、プルリクエストを自動的に生成してこれらの依存関係を更新するかどうかを選択します。 詳細については、「Dependabot alerts について」と「Dependabot security updates について」を参照してください。

Dependabot バージョンアップデート

Dependabotを使って、依存関係を最新に保つためのPull Requestを自動的に発行してください。 これは、依存関係の古いバージョンの公開を減らすために役立ちます。 新しいバージョンを使用すると、セキュリティの脆弱性が発見された場合にパッチの適用が容易になり、さらに脆弱性のある依存関係を更新するため Dependabot security updates がプルリクエストを発行することも容易になります。 詳細については、「Dependabot version updates について」を参照してください。

依存関係グラフ

依存関係グラフを使うと、自分のリポジトリが依存しているエコシステムやパッケージ、そして自分のリポジトリに依存しているリポジトリやパッケージを調べることができます。

依存関係グラフは、リポジトリの [分析情報] タブにあります。 詳細については、「依存関係グラフについて」を参照してください。

リポジトリのセキュリティの概要

セキュリティの概要には、リポジトリに対して有効になっているセキュリティ機能が示され、まだ有効になっていない使用可能なセキュリティ機能を構成するオプションが表示されます。

GitHub Advanced Security で使用可能

GitHub Advanced Security 機能は、GitHub Advanced Security ライセンスを持つエンタープライズで使用できます。 機能は、組織が所有するリポジトリに制限されます。 詳細については、「GitHub Advanced Security について」を参照してください。

Code scanning

新しいコードまたは変更されたコードのセキュリティの脆弱性とコーディングエラーを自動的に検出します。 潜在的な問題が強調表示され、あわせて詳細情報も確認できるため、デフォルトのブランチにマージする前にコードを修正できます。 詳細については、「コード スキャンについて」を参照してください。

Secret scanning

リポジトリにチェックインされたトークンまたは資格情報を自動的に検出します。 GitHub がコード内で検出したシークレットのアラートを表示して、侵害されたトークンまたは資格情報を認識できます。 詳細については、「シークレット スキャンについて」を参照してください。

依存関係の確認

Pull Requestをマージする前に、依存関係に対する変更の影響を詳細に示し、脆弱なバージョンがあればその詳細を確認できます。 詳細については、「依存関係レビューについて」を参照してください。

組織、チームのセキュリティの概要

組織のセキュリティ構成とアラートを確認し、最もリスクの高いリポジトリを特定します。 詳細については、「セキュリティの概要について」を参照してください。

参考資料