組織のグローバル セキュリティ設定の構成

一貫性のあるセキュリティ標準を確保し、すべてのリポジトリを保護するグローバル設定を定義して、組織の Advanced Security 機能をカスタマイズします。

この機能を使用できるユーザーについて

管理者 ロールを持つ組織の所有者、セキュリティ マネージャー、および組織メンバー

この記事で

組織の global settings ページへのアクセス

  1. GitHub の右上隅にあるプロフィール画像をクリックしてから、[ Your organizations] をクリックします。1. Organization 名の下で、[ Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    組織のプロファイルのタブのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で囲まれています。

  2. サイドバーの [セキュリティ] セクションで、Code security ドロップダウン メニューを選び、Global settings をクリックします。

グローバル Dependabot 設定の構成

Dependabot に対して、いくつかの global settings をカスタマイズできます。

  •         [Dependabot 自動トリアージ ルール の作成と管理](#creating-and-managing-dependabot-auto-triage-rules)

  •         [Dependabot セキュリティ更新プログラム](#grouping-dependabot-security-updates)

へのアクセス権の付与 * プライベート リポジトリと内部リポジトリ への Dependabot アクセス権の付与

Dependabot 自動トリアージ ルール の作成と管理

Dependabot 自動トリアージ ルール を作成して管理し、Dependabot に Dependabot alerts を自動的に無視または再通知するように指示したり、Pull Request を開いて解決を試みることもできます。 Dependabot 自動トリアージ ルール を構成するには、 をクリックして、ルールを作成または編集します。

  • 新しいルールを作成するには、新しいルール をクリックし、ルールの詳細を入力し、ルールの作成 をクリックします。
  • 既存のルールを編集するには、[] をクリックし、必要な変更を行い、ルールの保存 をクリックします。

Dependabot 自動トリアージ ルール の詳細については、「Dependabot 自動トリアージ ルールについて」と「自動トリアージ ルールをカスタマイズして Dependabot アラートの優先度を設定する」を参照してください。

Dependabot security updatesのグループ化

Dependabot を使うと、自動的に推奨されるすべてのセキュリティ更新プログラムを 1 つの pull request にグループ化できます。 グループ化されたセキュリティ更新プログラムを有効にするには、グループ化されたセキュリティ更新プログラム を選択します。 グループ化された更新プログラムとカスタマイズ オプションの詳細については、「Dependabot セキュリティの更新の構成」を参照してください。

プライベート および内部

リポジトリへの Dependabot アクセスを許可します。

組織内のリポジトリのプライベート依存関係を更新するには、Dependabot がそれらのリポジトリにアクセスする必要があります。 Dependabot に目的のプライベート または内部 リポジトリへのアクセス権を付与するには、[プライベート リポジトリへの Dependabot アクセスを許可する] セクションまで下にスクロールし、検索バーを使用して目的のリポジトリを検索して選択します。 リポジトリに Dependabot アクセス権を付与すると、組織内のすべてのユーザーが Dependabot updates を介してそのリポジトリのコンテンツにアクセスできるようになります。 プライベート リポジトリでサポートされているエコシステムの詳細については、「Dependabot でサポートされているエコシステムとリポジトリ」を参照してください。

グローバル code scanning 設定の構成

Code scanning は、GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディング エラーを見つけることができる機能です。 分析によって特定された問題は、リポジトリに表示されます。

code scanning に対して、いくつかの global settings をカスタマイズできます。

  •         [既定のセットアップ用に拡張クエリ スイートを推奨する](#recommending-the-extended-query-suite-for-default-setup)

  •         [CodeQL 分析の拡張](#expanding-codeql-analysis)

  •         [pull requests ](#setting-a-failure-threshold-for-code-scanning-checks-in-pull-requests) 内の code scanning チェックに対して失敗しきい値を設定する。

既定のセットアップに拡張クエリ スイートを推奨する

Code scanning は、コードに対して実行するための、CodeQL クエリ スイートと呼ばれる、CodeQL クエリの特定のグループを提供します。 既定では、「既定」のクエリ スイートが実行されます。 GitHub には「拡張」 クエリ スイートも用意されています。このスイートには、「既定」クエリ スイート内のすべてのクエリと、精度と重大度が低い追加クエリが含まれています。 組織全体で 「拡張」 クエリ スイートを提案するには、[既定のセットアップを有効にするリポジトリの拡張クエリ スイートを推奨] を選択します。 CodeQL の既定のセットアップの組み込みクエリ スイートの詳細については、「CodeQL クエリ セット」を参照してください。

CodeQL 分析の展開

CodeQL モデルパックを構成することで、デフォルトセットアップを使用する組織内のすべてのリポジトリについて、CodeQL の分析範囲を拡張できます。 モデル パックは、 CodeQL 分析を拡張して、標準の CodeQL ライブラリに含まれていない追加のフレームワークとライブラリを認識します。 このグローバル構成は、既定のセットアップを使用してリポジトリに適用され、コンテナー レジストリを介して発行されたモデル パックを指定できます。 詳しくは、「既定設定の構成を編集する」をご覧ください。

pull requests 内の code scanning チェックに対して失敗しきい値を設定する

Pull Request で実行される code scanning チェックが失敗する重大度レベルを選択できます。 セキュリティ重大度レベルを選択するには、Security: SECURITY-SEVERITY-LEVEL ドロップダウン メニューを選択し、セキュリティ重大度レベルをクリックします。 アラートの重大度レベルを選択するには、その他の その他: アラート - 標準エディション重大度レベルドロップダウン メニューを選択し、アラートの重大度レベルをクリックします。 詳しくは、「Code scanningアラートについて」をご覧ください。

グローバル secret scanning 設定の構成

Secret scanning は、リポジトリの Git 履歴全体をスキャンするセキュリティ ツールです。これにより、リポジトリ内の問題、プル リクエストおよびディスカッションで、誤ってコミットされたトークンや秘密鍵などの漏えいした機密情報を検出します。

code scanning に対して、いくつかの global settings をカスタマイズできます。

  •         [ブロックされたコミットのリソース リンクの追加](#adding-a-resource-link-for-blocked-commits)

  •         [カスタム パターンの定義](#defining-custom-patterns)

secret scanning がコミットをブロックするときに開発者にコンテキストを提供するために、コミットがブロックされた理由の詳細を示すリンクを表示できます。 リンクを含めるには、コミットがブロックされたときに CLI と Web UI にリソース リンクを追加する を選択します。 テキスト ボックスに目的のリソースへのリンクを入力し、リンクを保存 をクリックします。

カスタム パターンの定義

secret scanning のカスタム パターンを正規表現として定義できます。 カスタム パターンは、secret scanning でサポートされている既定のパターンで検出されないシークレットを特定できます。 カスタム パターンを作成するには、新しいパターン をクリックしてパターンの詳細を入力し、保存してドライ ラン をクリックします。 カスタム パターンの詳細については、「シークレット スキャンのカスタム パターンの定義」を参照してください。


## 組織のセキュリティ マネージャーの作成

セキュリティ マネージャーロールは、組織全体のセキュリティ設定とアラートを管理する機能を組織のメンバーに付与します。 セキュリティ マネージャーは、セキュリティの概要を通じて、組織内のすべてのリポジトリのデータを表示できます。

セキュリティ マネージャー ロールの詳細については、「[AUTOTITLE](/organizations/managing-peoples-access-to-your-organization-with-roles/managing-security-managers-in-your-organization)」を参照してください。


セキュリティ マネージャー ロールの割り当てについては、「[AUTOTITLE](/organizations/managing-peoples-access-to-your-organization-with-roles/using-organization-roles#assigning-an-organization-role)」を参照してください。