リポジトリを保護するためのクイック スタート

コードへのアクセスを管理します。 脆弱なコードと依存関係を自動的に見つけて修正します。

この機能を使用できるユーザーについて

リポジトリの所有者、組織の所有者、セキュリティ マネージャー、および 管理者 ロールを持つユーザー

この記事で

概要

このガイドは、リポジトリでのセキュリティ機能の設定方法を紹介します。

セキュリティの要件はリポジトリに固有のものなので、リポジトリですべての機能を有効化する必要はないかもしれません。 詳しくは、「GitHub セキュリティ機能」をご覧ください。

一部の機能は、すべてのプランのリポジトリに使用できます。 GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security を使う organization や Enterprise は、その他の機能を使用できます。 GitHub Advanced Security 機能は、GitHub 上のすべてのパブリック リポジトリでも有効になります。 詳しくは、「GitHub Advanced Security について」をご覧ください。

リポジトリへのアクセスの管理

リポジトリを保護するための最初の手順は、誰がコードを表示および変更できるかを確立することです。 詳しくは、「リポジトリの設定と機能の管理」をご覧ください。

リポジトリのメイン ページで、[設定] をクリックし、[危険ゾーン] まで下にスクロールします。

依存関係グラフの管理

          リポジトリ管理者は、リポジトリに対して依存関係グラフを有効または無効にすることができます。 依存関係グラフは、依存関係を識別するために、リポジトリ内のマニフェストとロック ファイルを解釈します。
  1. リポジトリのメインページから設定をクリックします。
  2. [ Advanced Security] をクリックします。
  3. 依存関係グラフの横にある [有効化] または [無効化] をクリックします。

詳しくは、「リポジトリの依存関係を調べる」をご覧ください。

管理 Dependabot alerts

          Dependabot alerts は、 GitHub が脆弱性を持つ依存関係グラフ内の依存関係を識別するときに生成されます。 
          任意のリポジトリに対して Dependabot alerts を有効にすることができます。

さらに、Dependabot 自動トリアージ ルール を使用してアラートを大規模に管理できるため、アラートを自動的に閉じたりスヌーズしたりして、pull requestを開く Dependabot アラートを指定できます。 さまざまな種類の自動トリアージ ルールと、リポジトリが適格かどうかについては、「Dependabot 自動トリアージ ルールについて」を参照してください。

Dependabot によって提供されるさまざまな機能の概要と、開始方法の手順については、「Dependabot クイックスタート ガイド」を参照してください。

  1. プロファイル写真をクリックし、 [設定] をクリックします。
  2. [ Advanced Security] をクリックします。
  3.        **
       **の横にある Dependabot alertsクリックします。

詳細については、 Dependabot アラートについて および セキュリティと分析機能の管理 を参照してください。

依存関係レビューの管理

依存関係レビューを使うと、Pull Requestがリポジトリにマージされる前に、Pull Request内での依存関係の変化を可視化できます。 詳しくは、「依存関係の確認について」をご覧ください。

依存関係の確認は、 GitHub Code Security 機能です。 依存関係グラフが有効になっているすべてのリポジトリに対して、依存関係の確認が有効になっています。 GitHub TeamでGitHub Enterprise CloudまたはGitHub Code Securityを使用する組織では、プライベート リポジトリと内部リポジトリの依存関係レビューを追加で有効にすることができます。

リポジトリの依存関係の確認を有効にするには、依存関係グラフが有効になっていることを確認します。

  1. リポジトリのメインページで、[設定] をクリックします。
  2. [ Advanced Security] をクリックします。
  3.        Code Securityの右側にある [**有効]** をクリックします。

  4.        Code Securityで、依存関係グラフがリポジトリに対して有効になっていることを確認します。

管理 Dependabot security updates

          Dependabot alertsを使用するリポジトリでは、脆弱性が検出されたときにDependabot security updatesを有効にして、セキュリティ更新プログラムを使用してプル要求を発生させることができます。
  1. リポジトリのメインページで、設定 をクリックします。
  2. [ Advanced Security] をクリックします。
  3.        Dependabot security updatesの横にある [**有効にする**] をクリックします。

詳細については、「Dependabot のセキュリティ アップデート」および「Dependabot セキュリティの更新の構成」を参照してください。

管理 Dependabot version updates

依存関係を最新の状態に維持するために、Dependabot がプルリクエストを自動的に作成することができます。 詳しくは、「GitHub Dependabot のバージョンアップデートについて」をご覧ください。

  1. リポジトリのメインページで、設定 をクリックします。
  2. [ Advanced Security] をクリックします。
  3.        Dependabot version updatesの横にある **[有効]** をクリックして、基本的な`dependabot.yml`構成ファイルを作成します。
  4. 更新する依存関係および、すべての関連する構成オプションを指定したら、ファイルをリポジトリにコミットします。 詳しくは、「Dependabot バージョンの更新の構成」をご覧ください。

構成 Code Security

メモ

          Code Security 機能は、すべてのパブリック リポジトリと、 GitHub Code Security または GitHub Advanced Securityを使用するチームまたは企業の一部である組織が所有するプライベート リポジトリで使用できます。

          GitHub Code Security には、 code scanning、 CodeQL CLI 、 Copilotの自動修正、およびコードベースの脆弱性を検出して修正するその他の機能が含まれています。

          code scanningまたはサード パーティ製ツールを使用して、リポジトリに格納されているコードの脆弱性とエラーを自動的に識別するようにCodeQL 分析ワークフローを構成できます。 リポジトリ内のプログラミング言語に応じて、既定のセットアップを使用してcode scanningを使用してCodeQLを構成できます。GitHubは、スキャンする言語、実行するクエリ スイート、および新しいスキャンをトリガーするイベントを自動的に決定します。 詳しくは、「[AUTOTITLE](/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning)」をご覧ください。
  1. リポジトリのトップページで、設定 をクリックします。
  2. サイドバーの「セキュリティ」セクションで、「 Advanced Security」をクリックします。
  3. [Code Security] または [GitHub Advanced Security] がまだ有効になっていない場合は、[ 有効] をクリックします。
  4. [CodeQL 分析] の右側にある [セットアップ] を選択し、[ 既定値] をクリックします。
  5. 表示されるポップアップ ウィンドウで、リポジトリの既定の構成設定を確認し、[CodeQLを有効にする] をクリックします。
  6.        Copilotの自動修正などの追加機能を有効にするかどうかを選択します。

既定のセットアップの代わりに、高度なセットアップを使用して、編集できるワークフロー ファイルを生成し、code scanningを使用してCodeQLをカスタマイズできます。 詳しくは、「コード スキャンの詳細設定を構成する」をご覧ください。

構成 Secret Protection

メモ

          Secret Protection 機能は、すべてのパブリック リポジトリと、 GitHub Secret Protection または GitHub Advanced Securityを使用するチームまたは企業の一部である組織が所有するプライベート リポジトリで使用できます。

          GitHub Secret Protection には、 secret scanning とプッシュ保護のほか、リポジトリ内のシークレット リークの検出と防止に役立つその他の機能が含まれています。
  1. リポジトリのメインページで、[設定] をクリックします。
  2. [ Advanced Security] をクリックします。
  3. [Secret Protection] または [GitHub Advanced Security] がまだ有効になっていない場合は、[ 有効] をクリックします。
  4. [Secret scanning] オプションが表示されている場合は、[ 有効] をクリックします。
  5. プロバイダー以外のパターンのスキャンやプッシュ保護など、追加機能を有効にするかどうかを選択します。

セキュリティポリシーの設定

リポジトリの保守管理者であれば、リポジトリに SECURITY.md という名前のファイルを作成して、リポジトリのセキュリティ ポリシーを指定することをお勧めします。 このファイルは、ユーザーがリポジトリのセキュリティ脆弱性を報告したいときに、リポジトリの保守管理者と連絡を取って共同作業を行うにはどうすれば一番良いかを指示します。 リポジトリのセキュリティ ポリシーは、リポジトリの [ Security and quality ] タブから確認できます。

  1. リポジトリのメイン ページで、 Security and quality をクリックします。
  2. 左側のサイドバーの [レポート] で、[ポリシー] をクリックします。
  3.        **[Start setup] (セットアップの開始)** をクリックします。
  4. プロジェクトのサポートされているバージョンに関する情報と、脆弱性の報告方法に関する情報を追加してください。

詳しくは、「リポジトリへのセキュリティ ポリシーの追加」をご覧ください。

次のステップ

セキュリティの機能からのアラートを表示及び管理して、コード中の依存関係と脆弱性に対処できます。 詳しくは、「Dependabot アラートの表示と更新」、「依存関係の更新に関するPull Requestを管理する」、「リポジトリのコード スキャンのアラートの評価」、「シークレット スキャン アラートの管理」を参照してください。

          GitHubのツールを使用して、セキュリティ アラートへの応答を監査することもできます。 詳しくは、「[AUTOTITLE](/code-security/getting-started/auditing-security-alerts)」をご覧ください。

          パブリック リポジトリにセキュリティの脆弱性がある場合は、セキュリティ アドバイザリを作成して、この脆弱性について非公開で話し合い、修正することができます。 詳細については、「[AUTOTITLE](/code-security/security-advisories/working-with-repository-security-advisories/about-repository-security-advisories)」および「[AUTOTITLE](/code-security/security-advisories/working-with-repository-security-advisories/creating-a-repository-security-advisory)」を参照してください。

GitHub Actionsを使用する場合、GitHubのセキュリティ機能を使用して、ワークフローのセキュリティを強化できます。 詳しくは、「セキュリティで保護された使用に関するリファレンス」をご覧ください。