Skip to main content

Organization のセキュリティおよび分析設定を管理する

GitHub 上の Organization のプロジェクトでコードを保護し分析する機能を管理できます。

Who can use this feature

Organization owners can manage security and analysis settings for repositories in the organization.

セキュリティおよび分析設定の管理について

GitHub を使用して、Organization のリポジトリを保護できます。 Organization でメンバーが作成する既存または新規のリポジトリすべてについて、セキュリティおよび分析機能を管理できます。

セキュリティと分析の設定を表示する

  1. GitHub Enterprise Server の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。 プロファイル メニューの組織 2. 組織の隣の [設定] をクリックします。 [設定] ボタン
  2. In the "Security" section of the sidebar, click Code security and analysis.

表示されるページでは、Organization 内のリポジトリのすべてのセキュリティおよび分析機能を有効化または無効化にできます。

GitHub Advanced Security のライセンスを持っている場合、ページには Advanced Security 機能を有効化または無効化するオプションも含まれます。 GitHub Advanced Security を使用するリポジトリは、ページの下部に一覧表示されます。

既存のすべてのリポジトリの機能を有効または無効にする

すべてのリポジトリの機能を有効化または無効化できます。

注: GitHub Advanced Security を有効化した場合、それらのリポジトリのコミッターは GitHub Advanced Security ライセンス上でシートを利用することになります。 このオプションは、ライセンスの容量を超えた場合には無効化されます。

  1. 組織のセキュリティと分析の設定に移動します。 詳細については、「セキュリティと分析の設定を表示する」を参照してください。

  2. [Code security and analysis] の下で機能の右にある [Disable all] または [Enable all] をクリックします。 GitHub Advanced Security ライセンスに空きシートがない場合、"GitHub Advanced Security" のコントロールは無効になります。 [セキュリティと分析の構成] 機能の [すべて有効にする] または [すべて無効にする] ボタン

  3. [すべて有効にする]/[すべて無効にする] または [対象リポジトリの有効化]/[対象リポジトリの無効化] をクリックして、変更を確定します。 Organization 内の適格なすべてのリポジトリの機能を有効化するボタン

    既存のリポジトリで1つ以上のセキュリティ及び分析機能を有効化すると、数分のうちにGitHub上に結果が表示されます。

  • 既存のすべてのリポジトリは、選択された設定を持ちます。
  • 新しいリポジトリに対するチェックボックスを有効化していれば、新しいリポジトリは選択された設定に従います。
  • 有効化すると、Dependabot セキュリティ更新プログラムは、Dependabot alerts がトリガーされたときに、脆弱な依存関係をアップグレードするための pull request を作成します。

新しいリポジトリが追加されたときに機能を自動的に有効化または無効化する

  1. 組織のセキュリティと分析の設定に移動します。 詳細については、「セキュリティと分析の設定を表示する」を参照してください。
  2. "Code security and analysis(コードのセキュリティと分析)"の下で、機能の右から、Organizationの新しいリポジトリでデフォルトでこの機能を有効化もしくは無効化してください。 新しいリポジトリの機能を有効にするためのチェックボックスのスクリーンショット

Dependabot のプライベート依存関係へのアクセスを許可する

Dependabot は、プロジェクト内の古い依存関係参照をチェックし、それらを更新するためのプルリクエストを自動的に生成できます。 これを行うには、Dependabot がすべてのターゲット依存関係ファイルにアクセスできる必要があります。 通常、1 つ以上の依存関係にアクセスできない場合、バージョン更新は失敗します。 詳細については、「Dependabot のバージョン アップデートについて」を参照してください。

デフォルトでは、Dependabot はプライベートリポジトリまたはプライベートパッケージレジストリにある依存関係を更新できません。 ただし、依存関係が、その依存関係を使用するプロジェクトと同じ Organization 内のプライベート GitHub リポジトリにある場合は、ホストリポジトリへのアクセスを許可することで、Dependabot がバージョンを正常に更新できるようにすることができます。

コードがプライベートレジストリ内のパッケージに依存している場合は、リポジトリレベルでこれを設定することにより、Dependabot がこれらの依存関係のバージョンを更新できるようにすることができます。 これを行うには、リポジトリの dependabot.yml ファイルに認証の詳細を追加します。 詳細については、「dependabot.yml ファイルの構成オプション」を参照してください。

Dependabot がプライベート GitHub リポジトリにアクセスできるようにするには:

  1. 組織のセキュリティと分析の設定に移動します。 詳細については、「セキュリティと分析の設定を表示する」を参照してください。

  2. [Dependabot プライベート リポジトリ アクセス] で、 [プライベート リポジトリの追加] または [内部およびプライベート リポジトリの追加] をクリックします。 [リポジトリの追加] ボタン

  3. 許可するリポジトリの名前の入力を開始します。 フィルタされたドロップダウンを持つリポジトリ検索フィールド

  4. 許可するリポジトリをクリックします。

  5. あるいは、リストからリポジトリを差k除するには、リポジトリの右のをクリックします。 リポジトリを削除するための [X] ボタン

Organization 内の個々のリポジトリから GitHub Advanced Security へのアクセスを削除する

リポジトリの GitHub Advanced Security 機能へのアクセスは、[設定] タブで管理できます。詳細については、「リポジトリのセキュリティと分析設定を管理する」を参照してください。 ただし、Organization の [Settings] タブから、リポジトリの GitHub Advanced Security 機能を無効にすることもできます。

  1. 組織のセキュリティと分析の設定に移動します。 詳細については、「セキュリティと分析の設定を表示する」を参照してください。
  2. GitHub Advanced Security が有効になっている Organization 内のすべてのリポジトリのリストを表示するには、「GitHub Advanced Security リポジトリ」セクションまでスクロールします。 [GitHub Advanced Security リポジトリ] セクションテーブルには、各リポジトリの一意のコミッターがリストされています。 これは、GitHub Advanced Security へのアクセスを削除することによりライセンスで解放できるシートの数です。 詳細については、「About billing for GitHub Advanced Security」(GitHub Advanced Security の課金について) を参照してください。
  3. リポジトリから GitHub Advanced Security へのアクセスを削除し、リポジトリ固有のコミッターが使用するシートを解放するには、隣接する をクリックします。
  4. 確認ダイアログで、 [リポジトリの削除] をクリックして、GitHub Advanced Security の機能へのアクセスを削除します。

注: リポジトリの GitHub Advanced Security へのアクセスを削除する場合は、影響を受ける開発チームと連絡を取り、変更が意図されたものかを確認する必要があります。 これにより、失敗したコードスキャンの実行をデバッグすることに時間を費すことがなくなります。

参考資料