GitHub によるユーザのデータの利用について
GitHubは、プロダクト内の一般化された知見を配信するために、メタデータを集約し、コンテンツのパターンをパースします。 パブリック リポジトリからのデータが使用されます。リポジトリの所有者が依存関係グラフを有効にして GitHub とデータを共有することを選択した場合は、メタデータとプライベート リポジトリからの集計データも使用されます。 プライベート リポジトリの依存関係グラフを有効にした場合、GitHub によってその特定のプライベート リポジトリの読み取り専用分析が実行されます。
プライベート リポジトリに対してデータの使用を有効にした場合、お客様のプライベート データ、ソース コード、または営業秘密は、引き続き、利用規約に従って機密情報および非公開として扱われます。 弊社が知る情報は、集約されたデータからのみです。 詳しくは、「プライベートリポジトリ用のデータ利用設定を管理する」を参照してください。
デフォルトでは、すべてのパブリックリポジトリはGitHubとSoftware Heritage FoundationやInternet Archiveといった組織との間の、世界中のオープンソースソフトウェアの長期的な保管を行うためのパートナーシップであるGitHub Archive Programに含まれます。詳しくは、「GitHub上のコンテンツとデータのアーカイブ処理について」をご覧ください。
GitHub が個人アカウントに関して保存するメタデータをエクスポートしてレビューできます。 詳しくは、「個人アカウントのデータのアーカイブをリクエストする」をご覧ください。
メタデータまたは集計データを使用する実質的な新機能については、GitHub のブログで発表します。
データによるセキュリティの推奨事項の改善
データの利用方法の例として、パブリックリポジトリの依存対象のセキュリティの脆弱性を検出し、アラートを出すことができます。 詳しくは、「Dependabot アラートについて」を参照してください。
潜在的なセキュリティの脆弱性を検出するために、GitHubは依存対象のマニフェストファイルの内容をスキャンし、プロジェクトの依存対象のリストを作成します。
GitHubはまた、依存対象のマニフェストに加えられた変更についても知ります。 たとえばあなたが脆弱性のある依存対象をセキュリティアラートを受けた後で安全なバージョンにアップグレードして、他者も同じようにした場合、GitHubはその脆弱性へのパッチの方法を学習し、影響を受けるリポジトリに同じパッチを推奨できます。
プライバシーとデータ共有
プライベートリポジトリのデータはマシンによってスキャンされ、GitHubのスタッフが読むことは決してありません。 利用規約に記載されている場合を除き、プライベート リポジトリの内容が人の目に見えることはありません。
あなたの個人データあるいはリポジトリデータがサードパーティと共有されることはありません。 弊社は、分析から得られた集約データをパートナーと共有することがあります。