GitHub Advanced Security の課金について
GitHub Advanced Securityのライセンスを購入してアップロードすれば、ユーザがコードセキュリティの追加機能を使えるようにできます。 GitHub Advanced Security の詳細については、「GitHub Advanced Security について」を参照してください。
GitHub Advanced Security の各ライセンスによって、それらの機能を使用できるアカウントの最大数が指定されます。 少なくとも 1 つのリポジトリでこの機能が有効化されているそれぞれのアクティブなコミッターは、1 つのシートを使用します。 コミットの 1 つが過去 90 日以内にリポジトリにプッシュされた場合、そのコミットの作成日に関係なく、コミッターはアクティブと見なされます。
注: アクティブなコミッターは、コミット作成者情報と、コードが GitHub Enterprise Server にプッシュされた時のタイムスタンプの両方を使用して計算されます。
-
ユーザーがコードを GitHub にプッシュすると、そのプッシュでコードを作成したすべてのユーザーは、そのコードが GitHub にとって新しくない場合でも、GitHub Advanced Security のシートにカウントされます。
-
ユーザーは常に、最近のベースからブランチを作成するか、プッシュする前にそれらをリベースする必要があります。 これにより、過去 90 日間にコミットしていないユーザーが GitHub Advanced Security のシートを占めることがないようにします。
サイト管理者ダッシュボードでインスタンスのアクティブなコミッターの数を生成することで、GitHub Advanced Security に必要になるライセンスの数を判断することができます。 詳しくは、「サイトアドミンのダッシュボード」を参照してください。
GitHub Advanced Security のコミッター番号について
お使いの GitHub Enterprise Server インスタンス 上の GitHub Advanced Security のコミッターの 2 つの数値を記録して表示します。
- コミッター とは、組織内のリポジトリの少なくとも 1 つに貢献し、エンタープライズ ライセンスのシートを使用するコミッターの数のことです。 つまり、組織のメンバー、外部のコラボレーターでもあるか、エンタープライズ内の組織に参加するための保留中の招待状を持っており、GitHub App のボットではないということです。 ボットとマシンのアカウントの違いについては、「GitHub アプリと OAuth アプリとの微妙な違い」を参照してください。
- このリポジトリ/組織に固有とは、このリポジトリまたはこの組織のリポジトリにのみ貢献したコミッターの数のことです。 この数値は、そのリポジトリまたは組織の GitHub Advanced Security を非アクティブ化することで解放できるシートの数を示しています。
一意のコミッターがない場合、これは、すべてのアクティブなコミッターが GitHub Advanced Security を使用する他のリポジトリまたは組織にも貢献しているということです。 そのリポジトリまたは組織の機能を非アクティブ化しても、GitHub Advanced Security のシートは解放されません。
ユーザをEnterpriseアカウントから削除すると、そのユーザのライセンスは24時間以内に解放されます。
注: ユーザーは、複数のリポジトリまたは組織にコントリビュートできます。 使用状況はエンタープライズ アカウント全体にわたって計測され、ユーザーが貢献しているリポジトリや組織の数を問わず、各メンバーが 1 つのシートを使用することが保証されます。
リポジトリで Advanced Security をアクティブ化または非アクティブ化すると、GitHub にライセンスの利用に関する変更の概要が表示されます。 GitHub Advanced Security へのアクセスを非アクティブ化した場合は、一意のアクティブなコミッターによって使用されているすべてのシートが解放されます。
ライセンス制限を超えている場合、GitHub Advanced Security はすでに有効になっているすべてのリポジトリで引き続き動作します。 ただし、GitHub Advanced Security が新しいリポジトリに対して有効になっている組織では、機能が非アクティブな状態でリポジトリが作成されます。 加えて、既存のリポジトリで GitHub Advanced Security を有効にするオプションは利用できなくなります。
一部のリポジトリで GitHub Advanced Security を非アクティブにするか、ライセンスのサイズを増やすことで、一部のシートを解放した直後に、再度 GitHub Advanced Security を有効にするオプションが通常どおり動作します。
Enterprise アカウントが所有する Organization による Advanced Security の使用を許可または禁止するポリシーを適用できます。 詳細については、GitHub Enterprise Cloud ドキュメントの「エンタープライズに Advanced Security のポリシーを適用する."
ライセンス使用状況の表示については、「GitHub Advanced Security の使用状況を表示する」を参照してください。
アクティブなコミッターの使用状況を理解する
以下のタイムラインの例は、GitHub Advanced Securityのアクティブなコミッター数がEnterprise内で時間と共にどのように変化しうるかを示しています。 月ごとに、イベントと合わせてその結果のコミッター数があります。
| Date | その月のイベント | コミッター総数 |
|---|---|---|
| エンタープライズのメンバーが、リポジトリ X に対して GitHub Advanced Security を有効化。リポジトリ X には、過去 90 日間に 50 個のコミッターがあります。 | 50 | |
| 開発者 A が、リポジトリ X で作業しているチームを離れる。開発者 A のコントリビューションは、引き続き 90 日間カウントされます。 | 50 | |
| 90 日が経過したので、開発者 A のコントリビューションは必要なライセンスに対してカウントされなくなります。 | 50 - 1 = 49 | |
| エンタープライズのメンバーが、2 つ目のリポジトリであるリポジトリ Y に対して GitHub Advanced Security を有効化。過去 90 日間に、合計 20 人の開発者がそのリポジトリに貢献しました。 この 20 人の開発者のうち、10 人が最近リポジトリ X でも作業しており、追加のライセンスは必要ありません。 | 49 + 10 = 59 | |
| エンタープライズのメンバーが、リポジトリ X に対して GitHub Advanced Security を無効化。リポジトリ X で作業していた 49 人の開発者のうち、10 人はリポジトリ Y でも作業を続けており、このリポジトリでは過去 90 日間に合計 20 人の開発者が貢献しています。 | 49 - 29 = 20 |
注: ユーザーは、コミットが 90 日以上前に作成されていたとしても、リポジトリのいずれかのブランチにコミットをプッシュしていればアクティブと見なされます。
GitHub Advanced Securityの最大限の活用
GitHub Advanced Security の優先順位を付けるリポジトリと Organization を決定するときは、それらを確認して次のことを特定する必要があります。
- 会社の成功にとって最も重要なコードベース。 これらは、脆弱性のあるコード、ハードコーディングされたシークレット、または安全でない依存関係が導入された場合、会社に最も大きな影響を及ぼすプロジェクトです。
- コミット頻度が最も高いコードベース。 これらは最も積極的に開発されたプロジェクトであるため、セキュリティの問題が発生するリスクが高くなります。
これらの組織またはリポジトリに対して GitHub Advanced Security を有効にした場合は、一意のコミッターに対する課金を発生させることなく、追加できるその他のコードベースを評価します。 最後に、残りの重要でビジーなコードベースを確認します。 お使いのライセンスのシートの数を増やす必要がある場合は、GitHub の営業チーム にお問い合わせください。