リポジトリのセキュリティと分析設定を管理する

リポジトリのセキュリティと分析設定について

GitHub には、リポジトリが脆弱性、未承認のアクセス、およびその他の潜在的なセキュリティ脅威からコードを保護するために有効にできるさまざまなセキュリティ機能が用意されています。

プライベート リポジトリのセキュリティ機能と分析機能

リポジトリに対するセキュリティ機能および分析機能を管理できます。 企業または組織に GitHub Advanced Securityのライセンスがある場合は、追加のオプションを使用できます。 詳しくは、「GitHub Advanced Security について」をご覧ください。

1. GitHub で、リポジトリのメイン ページに移動します。

2. リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

   

3. サイドバーの [Security] セクションで、[ Code security and analysis] をクリックします。

4. [Code security and analysis] で、機能の右側にある [ 無効] または [有効] をクリックします。 Advanced Securityに使用可能なライセンスがない場合、"企業" のコントロールは無効になります。

   メモ

   Advanced Securityを無効にすると、依存関係の確認、シークレット スキャン、code scanningが無効になります。 code scanningのワークフロー、SARIF アップロード、または API 呼び出しは失敗します。 Advanced Securityが再度有効になっている場合、code scanningは以前の状態に戻ります。

セキュリティ アラートへのアクセス権の付与

GitHub セキュリティ アラートは、リポジトリの依存関係またはコードに脆弱性が見つかった場合に通知する自動通知です。 このような issue をレビューして修復するように求められるので、プロジェクトの安全性を維持するのに役立ちます。

Dependabot、Secret scanning、Code scanningのセキュリティ アラートは、リポジトリの [ Security] タブで確認できます。

リポジトリのセキュリティ アラートは、リポジトリへの書き込み、保持、管理アクセス権を持つユーザー、および組織所有のリポジトリである場合は組織の所有者に表示されます。 追加の Team とユーザーにアラートへのアクセスを付与することができます。

1. GitHub で、リポジトリのメイン ページに移動します。

2. リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

   

3. サイドバーの [Security] セクションで、[ Code security and analysis] をクリックします。

4. [アラートへのアクセス] の検索フィールドで、探したいユーザーまたはチーム名を入力し始め、一致する名前をリストからクリックします。

5. [ 変更の保存] をクリックします。

セキュリティアラートへのアクセスを削除する

1. GitHub で、リポジトリのメイン ページに移動します。

2. リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

   

3. サイドバーの [Security] セクションで、[ Code security and analysis] をクリックします。

4. [アラートへのアクセス] で、アクセス権を削除するユーザーまたはチームの右側にある [ ] をクリックします。

   

5. [ 変更の保存] をクリックします。

参考資料

• リポジトリを保護するためのクイック スタート
• 組織のセキュリティおよび分析設定を管理する