セキュリティおよび分析設定の管理について
GitHub は、組織内のリポジトリをセキュリティで保護するのに役立ちます。 組織でメンバーが作成する既存または新規のリポジトリすべてについて、セキュリティおよび分析機能を管理できます。 GitHub Secret Protection or GitHub Code Securityのライセンスをお持ちの場合は、これらの機能へのアクセスを管理することもできます。 詳しくは、「GitHub Advanced Security について」をご覧ください。
パブリック リポジトリで既定で有効になっているセキュリティと分析の機能には、無効にできないものがあります。
security configuration (組織内のリポジトリに適用できるセキュリティ有効化設定のコレクション) を使用して、大規模なセキュリティ機能をすばやく有効にすることができます。 Advanced Security を使用して、組織レベルで global settings 機能をカスタマイズできます。 「大規模なセキュリティ機能の有効化について」をご覧ください。
セキュリティ機能と分析機能を有効にした場合、GitHub はリポジトリで読み取り専用分析を実行します。
Dependabotがプライベートまたは内部の依存関係にアクセスできるようにする
Dependabot では、プロジェクト内の古い依存関係参照をチェックし、それらを更新するためのプル要求を自動的に生成できます。 これを行うには、 Dependabot が対象となるすべての依存関係ファイルにアクセスできる必要があります。 通常、1 つ以上の依存関係にアクセスできない場合、バージョン更新は失敗します。 詳しくは、「GitHub Dependabot のバージョンアップデートについて」をご覧ください。
既定では、 Dependabot は、プライベート または内部 リポジトリ、プライベート または内部 パッケージ レジストリにある依存関係を更新できません。 ただし、依存関係が、その依存関係を使用するプロジェクトと同じ組織内のプライベート または内部GitHub リポジトリにある場合は、ホスト リポジトリへのアクセス権を付与することで、 Dependabot にバージョンの更新を正常に許可できます。
コードがプライベート レジストリ または内部 レジストリ内のパッケージに依存している場合は、リポジトリ レベルでこれを構成することで、 Dependabot にこれらの依存関係のバージョンを更新させることができます。 これを行うには、リポジトリの dependabot.yml ファイルに認証の詳細を追加します。 詳細については、「上位 registries キー」を参照してください。
メモ
プライベートリポジトリまたは内部リポジトリへの Dependabot アクセスを許可するオプションを使用できるようにするには、組織内の少なくとも 1 つのリポジトリで Dependabot version updates または Dependabot security updates を有効にする必要があります。
プライベートDependabotまたは内部の依存関係にアクセス権を付与する方法の詳細については、組織のグローバル セキュリティ設定の構成 を参照してください。
組織内の個々のリポジトリから GitHub Advanced Security 機能へのアクセスを削除する
security configurationsを使用して、組織内の個々のリポジトリからGitHub Advanced Security機能へのアクセスを削除できます。 詳しくは、「の有料使用の管理 Advanced Security」をご覧ください。