組織のグローバル セキュリティ設定の構成

一貫性のあるセキュリティ標準を確保し、すべてのリポジトリを保護するグローバル設定を定義して、組織の Advanced Security 機能をカスタマイズします。

この機能を使用できるユーザーについて

管理者 ロールを持つ組織の所有者、セキュリティ マネージャー、および組織メンバー

この記事で

組織の global settings ページへのアクセス

  1. GitHub の右上隅にあるプロフィール画像をクリックしてから、[ Your organizations] をクリックします。

  2. Organization 名の下で、[ Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    組織のプロファイルのタブのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で囲まれています。

  3. サイドバーの「セキュリティ」セクションで、 Advanced Security ドロップダウンメニューを選択し、 Global settings をクリックします。

グローバル Dependabot 設定の構成

          global settings用にいくつかのDependabotをカスタマイズできます。


          Dependabot 自動トリアージ ルールの作成と管理

          Dependabot 自動トリアージ ルールを作成および管理して、Dependabotを自動的に無視または再通知するようにDependabot alertsに指示したり、解決を試みるために pull request を開いたりすることもできます。 
          Dependabot 自動トリアージ ルールを構成するには、[<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-gear" aria-label="Configure Dependabot rules" role="img"><path d="M8 0a8.2 8.2 0 0 1 .701.031C9.444.095 9.99.645 10.16 1.29l.288 1.107c.018.066.079.158.212.224.231.114.454.243.668.386.123.082.233.09.299.071l1.103-.303c.644-.176 1.392.021 1.82.63.27.385.506.792.704 1.218.315.675.111 1.422-.364 1.891l-.814.806c-.049.048-.098.147-.088.294.016.257.016.515 0 .772-.01.147.038.246.088.294l.814.806c.475.469.679 1.216.364 1.891a7.977 7.977 0 0 1-.704 1.217c-.428.61-1.176.807-1.82.63l-1.102-.302c-.067-.019-.177-.011-.3.071a5.909 5.909 0 0 1-.668.386c-.133.066-.194.158-.211.224l-.29 1.106c-.168.646-.715 1.196-1.458 1.26a8.006 8.006 0 0 1-1.402 0c-.743-.064-1.289-.614-1.458-1.26l-.289-1.106c-.018-.066-.079-.158-.212-.224a5.738 5.738 0 0 1-.668-.386c-.123-.082-.233-.09-.299-.071l-1.103.303c-.644.176-1.392-.021-1.82-.63a8.12 8.12 0 0 1-.704-1.218c-.315-.675-.111-1.422.363-1.891l.815-.806c.05-.048.098-.147.088-.294a6.214 6.214 0 0 1 0-.772c.01-.147-.038-.246-.088-.294l-.815-.806C.635 6.045.431 5.298.746 4.623a7.92 7.92 0 0 1 .704-1.217c.428-.61 1.176-.807 1.82-.63l1.102.302c.067.019.177.011.3-.071.214-.143.437-.272.668-.386.133-.066.194-.158.211-.224l.29-1.106C6.009.645 6.556.095 7.299.03 7.53.01 7.764 0 8 0Zm-.571 1.525c-.036.003-.108.036-.137.146l-.289 1.105c-.147.561-.549.967-.998 1.189-.173.086-.34.183-.5.29-.417.278-.97.423-1.529.27l-1.103-.303c-.109-.03-.175.016-.195.045-.22.312-.412.644-.573.99-.014.031-.021.11.059.19l.815.806c.411.406.562.957.53 1.456a4.709 4.709 0 0 0 0 .582c.032.499-.119 1.05-.53 1.456l-.815.806c-.081.08-.073.159-.059.19.162.346.353.677.573.989.02.03.085.076.195.046l1.102-.303c.56-.153 1.113-.008 1.53.27.161.107.328.204.501.29.447.222.85.629.997 1.189l.289 1.105c.029.109.101.143.137.146a6.6 6.6 0 0 0 1.142 0c.036-.003.108-.036.137-.146l.289-1.105c.147-.561.549-.967.998-1.189.173-.086.34-.183.5-.29.417-.278.97-.423 1.529-.27l1.103.303c.109.029.175-.016.195-.045.22-.313.411-.644.573-.99.014-.031.021-.11-.059-.19l-.815-.806c-.411-.406-.562-.957-.53-1.456a4.709 4.709 0 0 0 0-.582c-.032-.499.119-1.05.53-1.456l.815-.806c.081-.08.073-.159.059-.19a6.464 6.464 0 0 0-.573-.989c-.02-.03-.085-.076-.195-.046l-1.102.303c-.56.153-1.113.008-1.53-.27a4.44 4.44 0 0 0-.501-.29c-.447-.222-.85-.629-.997-1.189l-.289-1.105c-.029-.11-.101-.143-.137-.146a6.6 6.6 0 0 0-1.142 0ZM11 8a3 3 0 1 1-6 0 3 3 0 0 1 6 0ZM9.5 8a1.5 1.5 0 1 0-3.001.001A1.5 1.5 0 0 0 9.5 8Z"></path></svg>] をクリックし、ルールを作成または編集します。

  • 新しいルールを作成するには、新しいルール をクリックし、ルールの詳細を入力し、ルールの作成 をクリックします。

  • 既存のルールを編集するには、[ ] をクリックし、必要な変更を行い、[ ルールの保存] をクリックします。

          Dependabot 自動トリアージ ルールの詳細については、「[AUTOTITLE](/code-security/concepts/supply-chain-security/about-dependabot-auto-triage-rules)」および[「AUTOTITLE](/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/customizing-auto-triage-rules-to-prioritize-dependabot-alerts#adding-custom-auto-triage-rules-to-your-organization)」を参照してください。

グループ Dependabot security updates

          Dependabot では、自動的に提案されたすべてのセキュリティ更新プログラムを 1 つのプル要求にグループ化できます。 グループ化されたセキュリティ更新プログラムを有効にするには、**グループ化されたセキュリティ更新プログラム** を選択します。 グループ化された更新プログラムとカスタマイズ オプションの詳細については、「[AUTOTITLE](/code-security/how-tos/secure-your-supply-chain/secure-your-dependencies/configuring-dependabot-security-updates#grouping-dependabot-security-updates-into-a-single-pull-request)」を参照してください。


          GitHub Actions ランナーで依存関係の更新を有効にする

組織内の既存のリポジトリに対して Dependabot と GitHub Actions の両方が有効になっている場合、 GitHub は自動的に GitHubホストランナーを使用して、それらのリポジトリの依存関係の更新を実行します。

それ以外の場合は、 Dependabot が GitHub Actions ランナーを使用して、組織内のすべての既存のリポジトリに対して依存関係の更新を実行できるようにするには、[アクション ランナーでDependabot ] を選択します。

詳しくは、「GitHub Actions ランナーの Dependabot について」をご覧ください。

          Dependabotのランナータイプを設定する

          Dependabot がバージョンとセキュリティの更新プログラムをスキャンするために使用するランナーの種類を構成できます。 既定では、Dependabotは標準**のGitHubホストランナーを使用します**。 カスタム ラベルを持つDependabotを使用するように**** を構成できます。これにより、Actions Runner Controller (ARC) などの既存のランナー インフラストラクチャと統合できます。

メモ

  • セキュリティ上の理由から、 Dependabot は、ラベル付きランナーを構成する場合でも、パブリック リポジトリに対して GitHubホストランナーを使用します。
  • ラベル付きランナーは、パブリック リポジトリでは 機能しません

ランナーの種類を構成するには:

  1. "Dependabot" の「ランナーの種類」の横にある を選択します。

  2.        Dependabot の「ランナーの種類を編集」ダイアログで、Dependabot が使用するランナーの種類を選択します。
    • 標準 GitHub ランナー
    • ラベル付きランナー: このオプションを選択した場合、 Dependabot は、指定したラベルに一致するセルフホステッド ランナーを使用します。
  3.        **ラベル付きランナー**を選択した場合:
    • [ランナー ラベル] に、セルフホステッド ランナーに割り当てられているラベルを入力します。 Dependabot はこのラベルのついたランナーを使います。 既定では、 dependabot ラベルが使用されますが、既存のランナー インフラストラクチャに合わせてカスタム ラベルを指定できます。
    • 必要に応じて、[ランナー グループ名] に、ランナー グループの特定のグループを対象とする場合は、ランナー グループの名前を入力します。

  4. [ ランナーの選択を保存] をクリックします。

           Dependabotのセルフホステッド ランナーの構成の詳細については、「[AUTOTITLE](/code-security/dependabot/maintain-dependencies/managing-dependabot-on-self-hosted-runners)」を参照してください。

プライベートDependabotおよび内部リポジトリへのアクセスの許可

組織内のリポジトリのプライベート依存関係を更新するには、 Dependabot それらのリポジトリにアクセスする必要があります。 Dependabot目的のプライベート or 内部repository へのアクセスを許可するには、[プライベート リポジトリへのアクセスDependabot許可] セクションまで下にスクロールし、検索バーを使用して目的のリポジトリを検索して選択します。 リポジトリへの Dependabot アクセス権を付与することは、組織内のすべてのユーザーが Dependabot updatesを介してそのリポジトリの内容にアクセスすることを意味することに注意してください。 プライベート リポジトリでサポートされているエコシステムの詳細については、「Dependabot でサポートされているエコシステムとリポジトリ」を参照してください。

グローバル code scanning 設定の構成

Code scanning は、GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディング エラーを見つけることができる機能です。 分析によって特定された問題は、リポジトリに表示されます。

          global settings用にいくつかのcode scanningをカスタマイズできます。

          
          * [の Copilot の自動修正 を有効にする CodeQL](#enabling-copilot-autofix-for-codeql)

既定のセットアップに拡張クエリ スイートを推奨する

          Code scanning は、CodeQL クエリと呼ばれる、CodeQL クエリの特定のグループをコードに対して実行するためのクエリスイートを提供します。 既定では、「既定」のクエリ スイートが実行されます。 
          GitHub また、"Default" クエリ スイート内のすべてのクエリと、精度と重大度が低い追加クエリを含む "拡張" クエリ スイートも提供します。 組織全体で 「拡張」 クエリ スイートを提案するには、[**既定のセットアップを有効にするリポジトリの拡張クエリ スイートを推奨**] を選択します。 既定のセットアップの組み込みクエリ スイート CodeQL 詳細については、「 [AUTOTITLE](/code-security/concepts/code-scanning/codeql/codeql-query-suites)」を参照してください。


          Copilot の自動修正 のために CodeQL を有効にする

          **
          Copilot の自動修正
          **を選択すると、既定のセットアップを使用する組織内のすべてのリポジトリに対してCopilot の自動修正CodeQL有効にしたり、詳細設定CodeQLしたりできます。 
          Copilot の自動修正は、code scanningアラートの修正を提案するcode scanningの拡張です。 詳しくは、「[AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/responsible-use-autofix-code-scanning)」をご覧ください。


          CodeQL分析の拡張

          CodeQL モデル パックを構成することで、既定のセットアップを使用する組織内のすべてのリポジトリのCodeQL分析範囲を拡張できます。 モデル パックは、標準のCodeQL ライブラリに含まれていない追加のフレームワークとライブラリを認識するために、CodeQL分析を拡張します。 このグローバル構成は、既定のセットアップを使用してリポジトリに適用され、コンテナー レジストリを介して発行されたモデル パックを指定できます。 詳しくは、「[AUTOTITLE](/code-security/how-tos/scan-code-for-vulnerabilities/manage-your-configuration/editing-your-configuration-of-default-setup#extending-coverage-for-all-repositories-in-an-organization)」をご覧ください。

グローバル secret scanning 設定の構成

Secret scanning は、リポジトリの Git 履歴全体をスキャンするセキュリティ ツールです。これにより、リポジトリ内の問題、プル リクエスト、ディスカッション、ウィキで、誤ってコミットされたトークンや秘密鍵などの漏えいした機密情報を検出します。

          global settings用にいくつかのsecret scanningをカスタマイズできます。

          secret scanningがコミットをブロックするときに開発者にコンテキストを提供するために、コミットがブロックされた理由の詳細を含むリンクを表示できます。 リンクを含めるには、**コミットがブロックされたときに CLI と Web UI にリソース リンクを追加する** を選択します。 テキスト ボックスに目的のリソースへのリンクを入力し、[リンクの****をクリックします。

カスタム パターンの定義

正規表現を使用して secret scanning のカスタム パターンを定義できます。 カスタム パターンでは、 secret scanningでサポートされている既定のパターンでは検出されないシークレットを識別できます。 カスタム パターンを作成するには、新しいパターン をクリックしてパターンの詳細を入力し、保存してドライ ラン をクリックします。 カスタム パターンの詳細については、「シークレット スキャンのカスタム パターンの定義」を参照してください。

プッシュ保護に含めるパターンの指定

メモ

現在、Enterprise および organization レベルでのプッシュ保護のパターンの構成は パブリック プレビュー 段階であり、変更される可能性があります。

プッシュ保護に含めるシークレットのパターンをカスタマイズできるため、セキュリティ チームは、組織内のリポジトリで禁止するシークレットの種類をより詳細に制御できます。

  1. [追加設定] の [Secret scanning] セクションで、[パターン構成] の右側にある [ ] をクリックします。
  2. 表示されるページで、[組織の設定] 列に必要な変更を加えます。

該当する列のトグル (Enterprise レベルでは [Enterprise 設定]、Organization レベルでは [Organization 設定]) を使用して、個々のパターンのプッシュ保護を有効または無効にすることができます。

データはスコープに制限されているため、アラート ボリューム、誤検知、バイパス率、またはカスタム パターンの可用性には、Enterprise または Organization 内のユーザーまたはアラート アクティビティが反映されます。

GitHub の既定値は、精度の向上やパターンのレベル引き上げに伴い、時間の経過とともに変わる可能性があります。

メモ

Organization の管理者とセキュリティ チームは、Enterprise レベルで構成された設定をオーバーライドできます。

          secret scanning パターン構成ページでデータを読み取る方法の詳細については、「[AUTOTITLE](/code-security/reference/secret-security/secret-scanning-pattern-configuration-data)」を参照してください。

組織のセキュリティ マネージャーの作成

セキュリティ マネージャーロールは、組織全体のセキュリティ設定とアラートを管理する機能を組織のメンバーに付与します。 セキュリティ マネージャーは、セキュリティの概要を通じて、組織内のすべてのリポジトリのデータを表示できます。

セキュリティ マネージャー ロールの詳細については、「組織でのセキュリティマネージャーの管理」を参照してください。

セキュリティ マネージャー ロールの割り当てについては、「組織の役割の使用」を参照してください。