GitHubのセキュリティ機能について
GitHubは、リポジトリ内及びOrganizationに渡ってコードとシークレットをセキュアに保つのに役立つ機能があります。 一部の機能は、すべてのリポジトリに使用できます。 その他の機能は、GitHub Advanced Security を使うエンタープライズに使用できます。 詳しくは、「GitHub Advanced Security について」を参照してください。
GitHub Advisory Databaseには、表示、検索、フィルタできる精選されたセキュリティ脆弱性のリストが含まれます。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」を参照してください。
すべてのリポジトリで使用可能
セキュリティ ポリシー
リポジトリで見つけたセキュリティの脆弱性を、ユーザが内密に報告しやすくします。 詳しくは、「リポジトリへのセキュリティ ポリシーの追加」を参照してください。
Dependabot alerts
注: 現在、Dependabot alerts はベータ版であり、変更される可能性があります。
セキュリティの脆弱性を含むことを把握している依存関係に関するアラートを表示し、それらのアラートを管理します。 詳しくは、「Dependabot アラートについて」を参照してください。
依存関係グラフ
依存関係グラフを使うと、自分のリポジトリが依存しているエコシステムやパッケージ、そして自分のリポジトリに依存しているリポジトリやパッケージを調べることができます。
依存関係グラフは、リポジトリの [分析情報] タブにあります。 詳しくは、「依存関係グラフについて」を参照してください。
リポジトリのセキュリティの概要
セキュリティの概要には、リポジトリに対して有効になっているセキュリティ機能が示され、まだ有効になっていない使用可能なセキュリティ機能を構成できます。
GitHub Advanced Security で使用可能
GitHub Advanced Security 機能は、組織が所有するリポジトリで使用できます。 詳しくは、「GitHub Advanced Security について」を参照してください。
Code scanning
新しいコードまたは変更されたコードのセキュリティの脆弱性とコーディングエラーを自動的に検出します。 潜在的な問題が強調表示され、あわせて詳細情報も確認できるため、デフォルトのブランチにマージする前にコードを修正できます。 詳しくは、「コード スキャンについて」を参照してください。
シークレット スキャン
リポジトリにチェックインされたトークンまたは資格情報を自動的に検出します。 GitHub によってコードから検出されたシークレットのアラートは、リポジトリの [セキュリティ] タブに表示できます。これにより、侵害されているものとして扱うべきトークンまたは資格情報がわかります。 詳しくは、「シークレット スキャンについて」を参照してください。
依存関係の確認
Pull Requestをマージする前に、依存関係に対する変更の影響を詳細に示し、脆弱なバージョンがあればその詳細を確認できます。 詳しくは、「依存関係の確認について」を参照してください。
Organization、Enterprise、チームのセキュリティの概要
組織のセキュリティ構成とアラートを確認し、最もリスクの高いリポジトリを特定します。 詳しくは、「セキュリティの概要について」を参照してください。