GitHub Advanced Security の課金について

Advanced Security 製品のライセンス モデルと、GitHub Secret Protection, GitHub Code Security, and GitHub Advanced Security ライセンスの使用状況の計算方法について説明します。

この機能を使用できるユーザーについて

GitHub Team または GitHub Enterprise が必要です

この記事の内容

GitHub は、Advanced Security 機能のサブセットを、GitHub.com 上のすべてのパブリック リポジトリで無料で利用できるようにします。 さらに、無料のsecret risk assessmentを使用して、漏洩したシークレットへの露出に関する分析情報を取得できます。 「Organization のシークレット リスク評価レポートの表示」を参照してください。

プライベート リポジトリで Advanced Security 機能を使用するには、料金を支払う必要があります。 パブリック リポジトリの可視性をプライベートに変更し、Advanced Security の料金を支払わない場合、Advanced Security 機能はそのリポジトリに対して無効になります。

Advanced Security 製品のライセンスの種類

Advanced Security 製品のライセンスは柔軟であり、ビジネス ニーズに合ったオプションを簡単に選択できます。 次の製品の任意の組み合わせに対してボリューム/サブスクリプション ライセンスを購入するか、従量制課金を使用して使用料金を支払うことができます:

  • GitHub Secret Protection: secret scanning やプッシュ保護など、シークレットの漏洩の検出と防止に役立つ機能が含まれます。
  • GitHub Code Security: code scanning、プレミアム Dependabot 機能、依存関係レビューなど、脆弱性の検出と修正に役立つ機能が含まれます。
  • GitHub Advanced Security。これには GitHub Secret Protection と GitHub Code Security のすべての機能が含まれます。

たとえば、まずすべてのリポジトリで GitHub Secret Protection を使用し、リスクの高いリポジトリで GitHub Code Security をパイロット運用することができます。 購入または支払いは必要な製品に対してのみ行い、コードのセキュリティの利点が見られたら展開します。

詳細については、機能の概要と価格情報および「GitHub Advanced Security について」を参照してください。

Advanced Security 製品の課金モデル

Advanced Security 製品が有効になっている少なくとも 1 つのリポジトリに対してアクティブな各コミッターがそれぞれ 1 つのライセンスを使用します。 コミットの 1 つが過去 90 日以内にリポジトリにプッシュされた場合、そのコミットの作成日に関係なく、コミッターはアクティブと見なされます。

ライセンスの支払い方法は 2 つあります。

  • 2024 年 6 月以降に導入された従量制課金

    • ユーザーは、GitHub Secret Protection or GitHub Code Security を個別に有効にすることができます。
    • アクティブなコミッターが使用するライセンス数に対して毎月課金されます。
    • 事前に定義されたライセンス制限はありません。
    • 超過状態はありません。使用した分についてのみ支払います。
    • Advanced Security 製品の GitHub Enterprise Server の使用は、ハイブリッド システムの GitHub Enterprise Cloud 上のリンクされた Enterprise アカウントを通じて課金されます。

  • GitHub Enterprise プランでのみ使用可能なボリューム/サブスクリプション課金

    • ユーザーは、課金を設定するように営業チームに依頼する必要があります。
    • 特定の数の GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security ライセンスを、定義された期間 (通常は少なくとも 1 年間) 購入します。
    • アクティブなコミッターによる Advanced Security の使用量が購入したライセンスの数を超える場合は、この超過分の使用量をカバーするために追加のライセンスを購入する必要があります。

コミッターとコストの管理

コミッターとコストの管理に使用できるオプションは、使用する課金モデルと課金プラットフォームによって異なります。

従量制課金

Advanced Security の使用はコミッターごとに課金され、リポジトリごとに有効になります。 Organization または Enterprise からコミッターを削除した場合、またはリポジトリですべての GitHub Secret Protection or GitHub Code Security 機能を無効にした場合、現在の月次支払いサイクルが終了するまで、そのコミッターは課金対象のままです。 コミッターが月の途中で追加された場合にのみ、日割り計算による課金が適用されます。 コミッターの追跡と課金の方法については、「使用状況の把握」を参照してください。

コスト センター、ポリシー、予算およびアラートを使用して、使用量とコストを制御できます。 「「過剰支出を防止する」と「エンタープライズのコード セキュリティと分析のためのポリシーの適用」 」を参照してください。

Note

GitHub Secret Protection or GitHub Code Security を有効にしたとき、[Billing & Licensing] タブの使用状況データに変更が表示されるまで、最大 2 時間かかります。

Enterprise が GitHub Enterprise Server と GitHub Enterprise Cloud の両方で Advanced Security を使用している場合は、環境間でライセンスの使用を同期すると、ユーザーが必要ないのに複数のライセンスを消費するのを防ぐことができます。Advanced Security は、GitHub Enterprise Server バージョン 3.12 以降のライセンス同期に含まれています。「GitHub Enterprise ServerとGitHub Enterprise Cloudとのライセンス利用状況の同期」をご覧ください。

ボリューム/サブスクリプション課金

各ライセンスは、Advanced Security を使用できるアカウントの最大数を指定します。 対象のリポジトリの少なくとも 1 つで製品が有効にされているアクティブなコミッターごとに、1 つのライセンスを使います。 Enterprise アカウントからユーザーを削除すると、ユーザーのライセンスは 24 時間以内に解放されます。

ライセンス制限を超えた場合、Advanced Security ライセンスによって制御される機能は、既に有効になっているすべてのリポジトリで引き続き機能します。 ただし、追加のリポジトリで GitHub Secret Protection or GitHub Code Security を有効にすることはできません。 GitHub Secret Protection or GitHub Code Security が自動的に有効になるように構成されている、organization で作成された新しいリポジトリは、製品を無効にして作成されます。

ライセンスを使用可能にしたらすぐに、一部のリポジトリで GitHub Secret Protection or GitHub Code Security を無効にするか、ライセンス サイズを増やすと、GitHub Secret Protection and GitHub Code Security を有効にするオプションが再度通常どおり動作します。

Enterprise アカウントが所有する organization による Advanced Security の使用を許可または禁止するポリシーを適用できます。 「エンタープライズのコード セキュリティと分析のためのポリシーの適用」を参照してください。

アクティブおよび一意のコミッター

GitHub Secret Protection or GitHub Code Security を使用する一意のアクティブなコミッターの数によって、ライセンスの使用が制御されます。

Advanced Security の [Global settings] ページで、organization のアクティブおよび一意のコミッターを確認できます。 [Secret Protection repositories] と [Code Security] に、概要とリポジトリレベルの詳細が報告されます。 「組織のグローバル セキュリティ設定の構成」を参照してください。

  • [Active committers] は、少なくとも 1 つの organization 所有リポジトリまたは 1 つのユーザー所有リポジトリに投稿した、Enterprise 内のライセンスを使用するコミッターの数です。 つまり、組織のメンバー、外部のコラボレーターでもあるか、エンタープライズ内の組織に参加するための保留中の招待状を持っており、GitHub App のボットではないということです。 ボットとマシンのアカウントの違いについては、「GitHub Apps と OAuth アプリの違い」を参照してください。
  • [Unique committers] は、1 つのリポジトリ、または 1 つの organization 内のリポジトリにのみ投稿したアクティブなコミッターの数です。 この数値は、そのリポジトリまたは organization の GitHub Secret Protection or GitHub Code Security を無効にすることで解放できるライセンスの数を示しています。

リポジトリまたは organization の一意のコミッターがいない場合は、すべてのアクティブなコミッターが Advanced Security ライセンスを使用する他のリポジトリまたは organization にも投稿しています。 そのリポジトリまたは organization の製品を無効にしても、ライセンスが解放されたり、使用コストが削減されたりすることはありません。

課金プラットフォーム

2024 年 6 月に、GitHub は、有料製品の使用に関するより詳細な分析情報と制御を提供する新しい課金プラットフォームを導入しました。 すべての Enterprise は、新しい課金プラットフォームに移行されます。

新しい課金プラットフォーム

  1. GitHub の右上隅にあるプロフィール写真をクリックします。
  2. ご自分の環境に応じて、[Your enterprise] または [Your enterprises] をクリックし、表示するエンタープライズをクリックします。

Enterprise で新しい課金プラットフォームを使用している場合は、 [Billing & Licensing] タブがあります。「新しい課金プラットフォームの使用」を参照してください。

元の課金プラットフォーム

元の課金プラットフォーム上の各 Enterprise には、新しい課金プラットフォームへの移行の前に GitHub から連絡があります。 まだ連絡がない場合は、元の課金プラットフォームを使用している可能性があります。「課金プラットフォームの使用」を参照してください。

使用状況の把握

ユーザーは、複数のリポジトリまたは organization にコントリビュートできます。 使用状況は Enterprise 全体について測定され、ユーザーが投稿しているリポジトリや organization の数に関係なく、各メンバーが 1 つのライセンスを使うことが保証されます。

1 つ以上のリポジトリに対して GitHub Secret Protection or GitHub Code Security を有効または無効にすると、GitHub によって使用状況がどのように変わるかの概要が表示されます。

  • 従量制課金。ライセンスを使用するアクティブなコミッターの数の増減を示します。
  • ボリューム/サブスクリプション課金。一意のアクティブなコミッターによって使用または解放されたライセンスの数を示します。

以下のタイムラインの例は、Advanced Security 製品のアクティブなコミッター数が Enterprise 内で時間と共にどのように変化しうるかを示しています。 月ごとに、イベントと合わせてその結果のコミッター数と使用量ベース課金への影響が表示されます。

Note

ユーザーには、コミットが過去 90 日間より前に作成されていたとしても、リポジトリのいずれかのブランチにコミットをプッシュしていればアクティブのフラグが立ちます。

Dateその月のイベントコミッター総数使用量ベースの課金への影響
4 月 15 日Enterprise のメンバーは、リポジトリ X に対して GitHub Secret Protection and GitHub Code Security を有効にします。リポジトリ X には、過去 90 日間で 50 人のコミッターがいます。50コミッター数 50 に対して課金が開始されます。
5 月 1 日開発者 A が、リポジトリ X で作業しているチームを離れる。開発者 A のコントリビューションは、引き続き 90 日間カウントされます。50即時に変更はされません。 開発者 A は、コントリビューションが 90 日間非アクティブになるまで引き続き課金されます。
8 月 1 日90 日が経過したので、開発者 A のコントリビューションは必要なライセンスに対してカウントされなくなります。50 - 1 =
49		開発者 A は課金カウントから削除され、課金対象のコミッターが 49 に減ります。
8 月 15 日Enterprise のメンバーは、2 つ目のリポジトリであるリポジトリ Y に対して GitHub Secret Protection and GitHub Code Security を有効にします。このリポジトリには、過去 90 日間に合計 20 人の開発者が投稿しました。 この 20 人の開発者のうち、10 人が最近リポジトリ X でも作業しており、追加のライセンスは必要ありません。49 + 10 =
59		一意のコントリビュータ―数 10 が追加されたため、コミッター数 59 に対する課金に増加します。
8 月 16 日Enterprise のメンバーは、リポジトリ X に対して GitHub Secret Protection and GitHub Code Security を無効にします。リポジトリ X で作業をしていた 49 人の開発者のうち、10 人はリポジトリ Y で作業を続けており、ここには合計で 20 人の開発者が過去 90 日間に投稿しました。49 - 29 =
20		リポジトリ X の課金は毎月の支払いサイクルの終わりまで続行されますが、次のサイクルでは、全体的な課金はコミッター数 20 に減少します。

参考資料