リポジトリのセキュリティと分析設定を管理する

GitHub 上のプロジェクトのコードをセキュリティ保護し分析する機能を管理できます。

この機能を使用できるユーザーについて

People with admin permissions to a repository can manage security and analysis settings for the repository.

この記事の内容

リポジトリのセキュリティと分析設定について

脆弱性、不正アクセス、その他の潜在的なセキュリティ脅威からコードを保護するために、GitHub には、リポジトリで有効にできるさまざまなセキュリティ機能があります。

セキュリティおよび分析機能を有効または無効にする

リポジトリのセキュリティおよび分析機能を管理できます。 Enterprise または organization が GitHub Advanced Security のライセンスを持っている場合は、追加のオプションを使用できます。詳しくは、「GitHub Advanced Security について」をご覧ください。

GitHub で、リポジトリのメインページに移動します。
リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウンメニューを選び、 [設定] をクリックします。
サイドバーの [Security] セクションで、[ Code security] をクリックします。
[Code security] で、機能の右側にある [Disable] または [Enable] をクリックします。 GitHub Advanced Security 機能のライセンスを Enterprise が持っていない場合、[GitHub Advanced Security] のコントロールは無効です。

Note

GitHub Advanced Security を無効にした場合、依存関係レビュー、シークレットスキャン、code scanning は無効になります。あらゆるワークフロー、SARIF のアップロード、code scanning への API の呼び出しが失敗することになります。 GitHub Advanced Security を再び有効にすると、code scanning は以前の状態に戻ります。

セキュリティアラートへのアクセス権の付与

GitHub のセキュリティアラートは、リポジトリの依存関係またはコードに脆弱性が見つかったときに通知する自動通知です。このような issue をレビューして修復するように求められるので、プロジェクトの安全性を維持するのに役立ちます。

Dependabot、Secret scanning、Code scanning のセキュリティアラートは、リポジトリの [Security] タブで確認できます。

リポジトリのセキュリティアラートは、リポジトリへの書き込み、保持、管理アクセス権を持つユーザー、および組織所有のリポジトリである場合は組織の所有者に表示されます。追加の Team とユーザーにアラートへのアクセスを付与することができます。

Note

組織の所有者とリポジトリ管理者は、リポジトリへの書き込みアクセス権を持つユーザーまたはチームに対して、シークレットスキャンニングアラートアラートなどのセキュリティアラートを表示する権限のみを付与できます。

GitHub で、リポジトリのメインページに移動します。
リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウンメニューを選び、 [設定] をクリックします。
サイドバーの [Security] セクションで、[ Code security] をクリックします。
[Access to alerts] の検索フィールドで、検索するユーザまたは Team 名の入力を開始し、リストから一致する名前をクリックします。
[変更を保存] をクリックします。

セキュリティアラートへのアクセスを削除する

GitHub で、リポジトリのメインページに移動します。
リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウンメニューを選び、 [設定] をクリックします。
サイドバーの [Security] セクションで、[ Code security] をクリックします。
[アラートへのアクセス] で、アクセスを削除するユーザーまたはチームの右側にある [] をクリックします。
[変更を保存] をクリックします。