Organization のセキュリティおよび分析設定を管理する

GitHub 上の Organization のプロジェクトでコードを保護し分析する機能を管理できます。

Organization owners can manage security and analysis settings for repositories in the organization.

セキュリティおよび分析設定の管理について

GitHub を使用して、Organization のリポジトリを保護できます。 Organization でメンバーが作成する既存または新規のリポジトリすべてについて、セキュリティおよび分析機能を管理できます。 GitHub Advanced Security のライセンスをお持ちの場合は、これらの機能へのアクセスを管理することもできます。 詳しい情報については、「GitHub Advanced Security について」を参照してください。

ノート: パブリックリポジトリにデフォルトで有効化されているセキュリティ及び分析の機能の中には、無効化できないものがあります。

セキュリティと分析の機能を有効化すると、 GitHubはリポジトリ上で読み取りのみの分析を行います。 詳しい情報については、「GitHub によるデータ使用について」を参照してください。

セキュリティと分析の設定を表示する

  1. GitHubの右上で、プロフィール写真をクリックし、続いてYour organizations(あなたのOrganization)をクリックしてください。 プロフィールメニューのあなたのOrganization
  2. Organizationの隣のSettings(設定)をクリックしてください。 設定ボタン
  3. 左のサイドバーで、Security & analysis(セキュリティと分析)をクリックしてください。 Organization設定の"セキュリティと分析"タブ

表示されるページでは、Organization 内のリポジトリのすべてのセキュリティおよび分析機能を有効化または無効化にできます。

Organization が GitHub Advanced Security のライセンスを持つ Enterprise に属している場合、ページには Advanced Security 機能を有効化または無効化するオプションも含まれます。 GitHub Advanced Security を使用するリポジトリは、ページの下部に一覧表示されます。

すべての既存のリポジトリに対して機能を有効化または無効化する

すべてのリポジトリの機能を有効化または無効化できます。 変更が Organization 内のリポジトリに与える影響は、リポジトリの可視性によって決まります。

  • 依存関係グラフ - この機能はパブリックリポジトリに対して常に有効になっているため、変更はプライベートリポジトリにのみ影響します。
  • Dependabotアラート - 変更はすべてのリポジトリに影響します。
  • Dependabotセキュリティアップデート - 変更はすべてのリポジトリに影響します。
  • GitHub Advanced Security - GitHub Advanced Security および関連機能は常にパブリックリポジトリに対して有効になっているため、変更はプライベートリポジトリにのみ影響します。
  • Secret scanning - 変更は GitHub Advanced Security も有効になっているプライベートリポジトリにのみ影響します。 Secret scanning は常にパブリックリポジトリに対して有効になっています。
**ノート:**

GitHub Advanced Securityを有効化した場合、それらのリポジトリのコミッターはGitHub Advanced Securityライセンス上でシートを利用することになります。 このオプションは、ライセンスの容量を超えた場合には無効化されます。 詳しい情報については「GitHub Advanced Securityのライセンスについて」を参照してください。

  1. Organization のセキュリティと分析の設定に移動します。 詳しい情報については、「セキュリティと分析の設定を表示する」を参照してください。

  2. [Configure security and analysis features] で、機能の右側にある [Disable all] または [Enable] をクリックします。 GitHub Advanced Security のライセンスにシートがない場合、「GitHub Advanced Security」の制御は無効になります。

    [Configure security and analysis] 機能の [Enable all] または [Disable all] ボタン

  3. オプションで、Organization の新しいリポジトリに対して機能をデフォルトで有効にすることもできます。

    新規のリポジトリの [Enable by default] オプション

  4. Organization のすべてのリポジトリに対してこの機能を有効または無効にするには、[Disable FEATURE] または [Enable FEATURE] をクリックします。

    機能 を無効または有効にするボタン

既存のリポジトリで1つ以上のセキュリティ及び分析機能を有効化すると、数分のうちにGitHub上に結果が表示されます。

  • 既存のすべてのリポジトリは、選択された設定を持ちます。
  • 新しいリポジトリは、新しいリポジトリのチェックボックスを有効にしていれば、選択された設定に従います。
  • 関連するサービスに適用するマニフェストファイルをスキャンするために権限を使用します。
  • 依存関係グラフ上に情報が表示されます。
  • GitHubは、Dependabotアラートを生成します。 そして、Pull Requestを作成します。

新しいリポジトリが追加されたときに機能を自動的に有効化または無効化する

  1. Organization のセキュリティと分析の設定に移動します。 詳しい情報については、「セキュリティと分析の設定を表示する」を参照してください。

  2. [Configure security and analysis features]の下で、機能の右から、Organizatin中の新しいリポジトリあるいはすべての新しいプライベートリポジトリでデフォルトでその機能を有効または無効にします。

    新規のリポジトリに対して機能を有効または無効にするチェックボックス

Dependabot のプライベート依存関係へのアクセスを許可する

Dependabot は、プロジェクト内の古い依存関係参照をチェックし、それらを更新するためのプルリクエストを自動的に生成できます。 これを行うには、Dependabot がすべてのターゲット依存関係ファイルにアクセスできる必要があります。 通常、1 つ以上の依存関係にアクセスできない場合、バージョン更新は失敗します。 詳しい情報については、「Dependabot バージョン更新について」を参照してください。

デフォルトでは、Dependabot はプライベートリポジトリまたはプライベートパッケージレジストリにある依存関係を更新できません。 ただし、依存関係が、その依存関係を使用するプロジェクトと同じ Organization 内のプライベート GitHub リポジトリにある場合は、ホストリポジトリへのアクセスを許可することで、Dependabot がバージョンを正常に更新できるようにすることができます。

コードがプライベートレジストリ内のパッケージに依存している場合は、リポジトリレベルでこれを設定することにより、Dependabot がこれらの依存関係のバージョンを更新できるようにすることができます。 これを行うには、リポジトリの dependabot.yml ファイルに認証の詳細を追加します。 詳しい情報については、「依存関係の更新の設定オプション 」を参照してください。

Dependabot がプライベート GitHub リポジトリにアクセスできるようにするには:

  1. Organization のセキュリティと分析の設定に移動します。 詳しい情報については、「セキュリティと分析の設定を表示する」を参照してください。

  2. [Dependabot private repository access] の下で、[Add private repositories] または [Add internal and private repositories] をクリックします。 [Add repositories] ボタン

  3. 許可するリポジトリの名前を入力します。 [Add repositories] ボタン

  4. 許可するリポジトリをクリックします。

  5. あるいは、リストからリポジトリを差k除するには、リポジトリの右のをクリックします。 リポジトリを削除する [X] ボタン

Organization 内の個々のリポジトリから GitHub Advanced Security へのアクセスを削除する

[Settings] タブから、リポジトリの GitHub Advanced Security 機能へのアクセスを管理できます。 詳しい情報については「リポジトリのセキュリティ及び分析の設定の管理」を参照してください。 ただし、Organization の [Settings] タブから、リポジトリの GitHub Advanced Security 機能を無効にすることもできます。

  1. Organization のセキュリティと分析の設定に移動します。 詳しい情報については、「セキュリティと分析の設定を表示する」を参照してください。
  2. GitHub Advanced Security が有効になっている Organization 内のすべてのリポジトリのリストを表示するには、「GitHub Advanced Security リポジトリ」セクションまでスクロールします。 GitHub Advanced Security repositories section この表は、各リポジトリの一意のコミッターの数を示しています。 これは、GitHub Advanced Security へのアクセスを削除することによりライセンスで解放できるシートの数です。 詳しい情報については「GitHub Advanced Securityのライセンスについて」を参照してください。
  3. リポジトリから GitHub Advanced Security へのアクセスを削除し、リポジトリ固有のコミッターが使用するシートを解放するには、隣接する をクリックします。
  4. 確認ダイアログで、[Remove repository] をクリックして、GitHub Advanced Security の機能へのアクセスを削除します。

注釈: リポジトリの GitHub Advanced Security へのアクセスを削除する場合は、影響を受ける開発チームと連絡を取り、変更が意図されたものかを確認する必要があります。 これにより、失敗したコードスキャンの実行をデバッグすることに時間を費すことがなくなります。

参考リンク

このドキュメントは役立ちましたか?プライバシーポリシー

これらのドキュメントを素晴らしいものにするのを手伝ってください!

GitHubのすべてのドキュメントはオープンソースです。間違っていたり、はっきりしないところがありましたか?Pull Requestをお送りください。

コントリビューションを行う

OR, コントリビューションの方法を学んでください。

問題がまだ解決していませんか?

GitHubコミュニティで質問するサポートへの連絡