組織のグローバル セキュリティ設定の構成

一貫性のあるセキュリティ標準を確保し、すべてのリポジトリを保護するグローバル設定を定義して、組織の Advanced Security 機能をカスタマイズします。

この機能を使用できるユーザーについて

管理者 ロールを持つ組織の所有者、セキュリティ マネージャー、および組織メンバー

この記事で

組織の global settings ページへのアクセス

  1. GitHub の右上隅にあるプロフィール画像をクリックしてから、[ Your organizations] をクリックします。

  2. Organization 名の下で、[ Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    組織のプロファイルのタブのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で囲まれています。

  3. サイドバーの「セキュリティ」セクションで、 Code security ドロップダウンメニューを選択し、 Global settings をクリックします。

グローバル Dependabot 設定の構成

          global settings用にいくつかのDependabotをカスタマイズできます。


          Dependabot 自動トリアージ ルールの作成と管理

          Dependabot 自動トリアージ ルールを作成および管理して、Dependabotを自動的に無視または再通知するようにDependabot alertsに指示したり、解決を試みるために pull request を開いたりすることもできます。 
          Dependabot 自動トリアージ ルールを構成するには、[<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-gear" aria-label="Configure Dependabot rules" role="img"><path d="M8 0a8.2 8.2 0 0 1 .701.031C9.444.095 9.99.645 10.16 1.29l.288 1.107c.018.066.079.158.212.224.231.114.454.243.668.386.123.082.233.09.299.071l1.103-.303c.644-.176 1.392.021 1.82.63.27.385.506.792.704 1.218.315.675.111 1.422-.364 1.891l-.814.806c-.049.048-.098.147-.088.294.016.257.016.515 0 .772-.01.147.038.246.088.294l.814.806c.475.469.679 1.216.364 1.891a7.977 7.977 0 0 1-.704 1.217c-.428.61-1.176.807-1.82.63l-1.102-.302c-.067-.019-.177-.011-.3.071a5.909 5.909 0 0 1-.668.386c-.133.066-.194.158-.211.224l-.29 1.106c-.168.646-.715 1.196-1.458 1.26a8.006 8.006 0 0 1-1.402 0c-.743-.064-1.289-.614-1.458-1.26l-.289-1.106c-.018-.066-.079-.158-.212-.224a5.738 5.738 0 0 1-.668-.386c-.123-.082-.233-.09-.299-.071l-1.103.303c-.644.176-1.392-.021-1.82-.63a8.12 8.12 0 0 1-.704-1.218c-.315-.675-.111-1.422.363-1.891l.815-.806c.05-.048.098-.147.088-.294a6.214 6.214 0 0 1 0-.772c.01-.147-.038-.246-.088-.294l-.815-.806C.635 6.045.431 5.298.746 4.623a7.92 7.92 0 0 1 .704-1.217c.428-.61 1.176-.807 1.82-.63l1.102.302c.067.019.177.011.3-.071.214-.143.437-.272.668-.386.133-.066.194-.158.211-.224l.29-1.106C6.009.645 6.556.095 7.299.03 7.53.01 7.764 0 8 0Zm-.571 1.525c-.036.003-.108.036-.137.146l-.289 1.105c-.147.561-.549.967-.998 1.189-.173.086-.34.183-.5.29-.417.278-.97.423-1.529.27l-1.103-.303c-.109-.03-.175.016-.195.045-.22.312-.412.644-.573.99-.014.031-.021.11.059.19l.815.806c.411.406.562.957.53 1.456a4.709 4.709 0 0 0 0 .582c.032.499-.119 1.05-.53 1.456l-.815.806c-.081.08-.073.159-.059.19.162.346.353.677.573.989.02.03.085.076.195.046l1.102-.303c.56-.153 1.113-.008 1.53.27.161.107.328.204.501.29.447.222.85.629.997 1.189l.289 1.105c.029.109.101.143.137.146a6.6 6.6 0 0 0 1.142 0c.036-.003.108-.036.137-.146l.289-1.105c.147-.561.549-.967.998-1.189.173-.086.34-.183.5-.29.417-.278.97-.423 1.529-.27l1.103.303c.109.029.175-.016.195-.045.22-.313.411-.644.573-.99.014-.031.021-.11-.059-.19l-.815-.806c-.411-.406-.562-.957-.53-1.456a4.709 4.709 0 0 0 0-.582c-.032-.499.119-1.05.53-1.456l.815-.806c.081-.08.073-.159.059-.19a6.464 6.464 0 0 0-.573-.989c-.02-.03-.085-.076-.195-.046l-1.102.303c-.56.153-1.113.008-1.53-.27a4.44 4.44 0 0 0-.501-.29c-.447-.222-.85-.629-.997-1.189l-.289-1.105c-.029-.11-.101-.143-.137-.146a6.6 6.6 0 0 0-1.142 0ZM11 8a3 3 0 1 1-6 0 3 3 0 0 1 6 0ZM9.5 8a1.5 1.5 0 1 0-3.001.001A1.5 1.5 0 0 0 9.5 8Z"></path></svg>] をクリックし、ルールを作成または編集します。

  • 新しいルールを作成するには、新しいルール をクリックし、ルールの詳細を入力し、ルールの作成 をクリックします。

  • 既存のルールを編集するには、[ ] をクリックし、必要な変更を行い、[ ルールの保存] をクリックします。

          Dependabot 自動トリアージ ルールの詳細については、「[AUTOTITLE](/code-security/concepts/supply-chain-security/about-dependabot-auto-triage-rules)」および[「AUTOTITLE](/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/customizing-auto-triage-rules-to-prioritize-dependabot-alerts#adding-custom-auto-triage-rules-to-your-organization)」を参照してください。

グループ Dependabot security updates

          Dependabot では、自動的に提案されたすべてのセキュリティ更新プログラムを 1 つのプル要求にグループ化できます。 グループ化されたセキュリティ更新プログラムを有効にするには、**グループ化されたセキュリティ更新プログラム** を選択します。 グループ化された更新プログラムとカスタマイズ オプションの詳細については、「[AUTOTITLE](/code-security/how-tos/secure-your-supply-chain/secure-your-dependencies/configuring-dependabot-security-updates#grouping-dependabot-security-updates-into-a-single-pull-request)」を参照してください。

プライベートDependabotおよび内部リポジトリへのアクセスの許可

組織内のリポジトリのプライベート依存関係を更新するには、 Dependabot それらのリポジトリにアクセスする必要があります。 Dependabot目的のプライベート or 内部repository へのアクセスを許可するには、[プライベート リポジトリへのアクセスDependabot許可] セクションまで下にスクロールし、検索バーを使用して目的のリポジトリを検索して選択します。 リポジトリへの Dependabot アクセス権を付与することは、組織内のすべてのユーザーが Dependabot updatesを介してそのリポジトリの内容にアクセスすることを意味することに注意してください。 プライベート リポジトリでサポートされているエコシステムの詳細については、「Dependabot でサポートされているエコシステムとリポジトリ」を参照してください。

グローバル code scanning 設定の構成

Code scanning は、GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディング エラーを見つけることができる機能です。 分析によって特定された問題は、リポジトリに表示されます。

          global settings用にいくつかのcode scanningをカスタマイズできます。

既定のセットアップに拡張クエリ スイートを推奨する

          Code scanning は、CodeQL クエリと呼ばれる、CodeQL クエリの特定のグループをコードに対して実行するためのクエリスイートを提供します。 既定では、「既定」のクエリ スイートが実行されます。 
          GitHub また、"Default" クエリ スイート内のすべてのクエリと、精度と重大度が低い追加クエリを含む "拡張" クエリ スイートも提供します。 組織全体で 「拡張」 クエリ スイートを提案するには、[**既定のセットアップを有効にするリポジトリの拡張クエリ スイートを推奨**] を選択します。 既定のセットアップの組み込みクエリ スイート CodeQL 詳細については、「 [AUTOTITLE](/code-security/concepts/code-scanning/codeql/codeql-query-suites)」を参照してください。


          CodeQL分析の拡張

          CodeQL モデル パックを構成することで、既定のセットアップを使用する組織内のすべてのリポジトリのCodeQL分析範囲を拡張できます。 モデル パックは、標準のCodeQL ライブラリに含まれていない追加のフレームワークとライブラリを認識するために、CodeQL分析を拡張します。 このグローバル構成は、既定のセットアップを使用してリポジトリに適用され、コンテナー レジストリを介して発行されたモデル パックを指定できます。 詳しくは、「[AUTOTITLE](/code-security/how-tos/scan-code-for-vulnerabilities/manage-your-configuration/editing-your-configuration-of-default-setup#extending-coverage-for-all-repositories-in-an-organization)」をご覧ください。

プル要求での code scanning チェックの失敗しきい値の設定

プルリクエストで実行される code scanning チェックが失敗する重大度レベルを選択できます。 セキュリティ重大度レベルを選択するには、Security: SECURITY-SEVERITY-LEVEL ドロップダウン メニューを選択し、セキュリティ重大度レベルをクリックします。 アラートの重大度レベルを選択するには、その他の その他: アラート - 標準エディション重大度レベルドロップダウン メニューを選択し、アラートの重大度レベルをクリックします。 詳しくは、「Code scanningアラートについて」をご覧ください。

グローバル secret scanning 設定の構成

Secret scanning は、リポジトリの Git 履歴全体をスキャンするセキュリティ ツールです。これにより、リポジトリ内の問題、プル リクエストおよびディスカッションで、誤ってコミットされたトークンや秘密鍵などの漏えいした機密情報を検出します。

          global settings用にいくつかのsecret scanningをカスタマイズできます。

          secret scanningがコミットをブロックするときに開発者にコンテキストを提供するために、コミットがブロックされた理由の詳細を含むリンクを表示できます。 リンクを含めるには、**コミットがブロックされたときに CLI と Web UI にリソース リンクを追加する** を選択します。 テキスト ボックスに目的のリソースへのリンクを入力し、[リンクの****をクリックします。

カスタム パターンの定義

正規表現を使用して secret scanning のカスタム パターンを定義できます。 カスタム パターンでは、 secret scanningでサポートされている既定のパターンでは検出されないシークレットを識別できます。 カスタム パターンを作成するには、新しいパターン をクリックしてパターンの詳細を入力し、保存してドライ ラン をクリックします。 カスタム パターンの詳細については、「シークレット スキャンのカスタム パターンの定義」を参照してください。

組織のセキュリティ マネージャーの作成

セキュリティ マネージャーロールは、組織全体のセキュリティ設定とアラートを管理する機能を組織のメンバーに付与します。 セキュリティ マネージャーは、セキュリティの概要を通じて、組織内のすべてのリポジトリのデータを表示できます。

セキュリティ マネージャー ロールの詳細については、「組織でのセキュリティマネージャーの管理」を参照してください。

セキュリティ マネージャー ロールの割り当てについては、「組織の役割の使用」を参照してください。