組織のグローバル セキュリティ設定の構成

一貫性のあるセキュリティ標準を確保し、すべてのリポジトリを保護するグローバル設定を定義して、組織の Advanced Security 機能をカスタマイズします。

この機能を使用できるユーザーについて

管理者 ロールを持つ組織の所有者、セキュリティ マネージャー、および組織メンバー

この記事で

組織の global settings ページへのアクセス

  1. GitHub の右上隅にあるプロフィール画像をクリックしてから、[ Your organizations] をクリックします。1. Organization 名の下で、[ Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    組織のプロファイルのタブのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で囲まれています。

  2. サイドバーの [セキュリティ] セクションで、Advanced Security ドロップダウン メニューを選び、Global settings をクリックします。

グローバル Dependabot 設定の構成

Dependabot に対して、いくつかの global settings をカスタマイズできます。

  •         [Dependabot 自動トリアージ ルール の作成と管理](#creating-and-managing-dependabot-auto-triage-rules)

  •         [Dependabot セキュリティ更新プログラム](#grouping-dependabot-security-updates)

へのアクセス権の付与 * プライベート リポジトリと内部リポジトリ への Dependabot アクセス権の付与

Dependabot 自動トリアージ ルール の作成と管理

Dependabot 自動トリアージ ルール を作成して管理し、Dependabot に Dependabot alerts を自動的に無視または再通知するように指示したり、Pull Request を開いて解決を試みることもできます。 Dependabot 自動トリアージ ルール を構成するには、 をクリックして、ルールを作成または編集します。

  • 新しいルールを作成するには、新しいルール をクリックし、ルールの詳細を入力し、ルールの作成 をクリックします。
  • 既存のルールを編集するには、[] をクリックし、必要な変更を行い、ルールの保存 をクリックします。

Dependabot 自動トリアージ ルール の詳細については、「Dependabot 自動トリアージ ルールについて」と「自動トリアージ ルールをカスタマイズして Dependabot アラートの優先度を設定する」を参照してください。

Dependabot security updatesのグループ化

Dependabot を使うと、自動的に推奨されるすべてのセキュリティ更新プログラムを 1 つの pull request にグループ化できます。 グループ化されたセキュリティ更新プログラムを有効にするには、グループ化されたセキュリティ更新プログラム を選択します。 グループ化された更新プログラムとカスタマイズ オプションの詳細については、「Dependabot セキュリティの更新の構成」を参照してください。

プライベート および内部

リポジトリへの Dependabot アクセスを許可します。

組織内のリポジトリのプライベート依存関係を更新するには、Dependabot がそれらのリポジトリにアクセスする必要があります。 Dependabot に目的のプライベート または内部 リポジトリへのアクセス権を付与するには、[プライベート リポジトリへの Dependabot アクセスを許可する] セクションまで下にスクロールし、検索バーを使用して目的のリポジトリを検索して選択します。 リポジトリに Dependabot アクセス権を付与すると、組織内のすべてのユーザーが Dependabot updates を介してそのリポジトリのコンテンツにアクセスできるようになります。 プライベート リポジトリでサポートされているエコシステムの詳細については、「Dependabot でサポートされているエコシステムとリポジトリ」を参照してください。

グローバル code scanning 設定の構成

Code scanning は、GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディング エラーを見つけることができる機能です。 分析によって特定された問題は、リポジトリに表示されます。

組織内のリポジトリには、「既定」クエリスイートの代わりに「拡張」クエリスイートを使用することをお勧めします。これにより、組織全体でより広範なcode scanning カバレッジを確保できます。 既定のセットアップについては、拡張クエリ スイートの推奨を参照してください。

既定のセットアップに拡張クエリ スイートを推奨する

Code scanning は、コードに対して実行するための、CodeQL クエリ スイートと呼ばれる、CodeQL クエリの特定のグループを提供します。 既定では、「既定」のクエリ スイートが実行されます。 GitHub には「拡張」 クエリ スイートも用意されています。このスイートには、「既定」クエリ スイート内のすべてのクエリと、精度と重大度が低い追加クエリが含まれています。 組織全体で 「拡張」 クエリ スイートを提案するには、[既定のセットアップを有効にするリポジトリの拡張クエリ スイートを推奨] を選択します。 CodeQL の既定のセットアップの組み込みクエリ スイートの詳細については、「CodeQL クエリ セット」を参照してください。

CodeQL 分析の展開

CodeQL モデルパックを構成することで、デフォルトセットアップを使用する組織内のすべてのリポジトリについて、CodeQL の分析範囲を拡張できます。 モデル パックは、 CodeQL 分析を拡張して、標準の CodeQL ライブラリに含まれていない追加のフレームワークとライブラリを認識します。 このグローバル構成は、既定のセットアップを使用してリポジトリに適用され、コンテナー レジストリを介して発行されたモデル パックを指定できます。 詳しくは、「既定設定の構成を編集する」をご覧ください。

グローバル secret scanning 設定の構成

Secret scanning は、リポジトリの Git 履歴全体をスキャンするセキュリティ ツールです。これにより、リポジトリ内の問題、プル リクエスト、ディスカッション、ウィキで、誤ってコミットされたトークンや秘密鍵などの漏えいした機密情報を検出します。

code scanning に対して、いくつかの global settings をカスタマイズできます。

  •         [ブロックされたコミットのリソース リンクの追加](#adding-a-resource-link-for-blocked-commits)

  •         [カスタム パターンの定義](#defining-custom-patterns)

  •         [プッシュ保護に含めるパターンの指定](#specifying-patterns-to-include-in-push-protection)

secret scanning がコミットをブロックするときに開発者にコンテキストを提供するために、コミットがブロックされた理由の詳細を示すリンクを表示できます。 リンクを含めるには、コミットがブロックされたときに CLI と Web UI にリソース リンクを追加する を選択します。 テキスト ボックスに目的のリソースへのリンクを入力し、リンクを保存 をクリックします。

カスタム パターンの定義

secret scanning のカスタム パターンを正規表現として定義できます。 カスタム パターンは、secret scanning でサポートされている既定のパターンで検出されないシークレットを特定できます。 カスタム パターンを作成するには、新しいパターン をクリックしてパターンの詳細を入力し、保存してドライ ラン をクリックします。 カスタム パターンの詳細については、「シークレット スキャンのカスタム パターンの定義」を参照してください。


### プッシュ保護に含めるパターンの指定

> [!NOTE]
> 現在、Enterprise および organization レベルでのプッシュ保護のパターンの構成は パブリック プレビュー 段階であり、変更される可能性があります。

プッシュ保護に含めるシークレットのパターンをカスタマイズできるため、セキュリティ チームは、組織内のリポジトリで禁止するシークレットの種類をより詳細に制御できます。

1. [Additional settings] の [Secret scanning] セクションの [パターン構成] の右側にある **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-gear" aria-label="The Gear icon" role="img"><path d="M8 0a8.2 8.2 0 0 1 .701.031C9.444.095 9.99.645 10.16 1.29l.288 1.107c.018.066.079.158.212.224.231.114.454.243.668.386.123.082.233.09.299.071l1.103-.303c.644-.176 1.392.021 1.82.63.27.385.506.792.704 1.218.315.675.111 1.422-.364 1.891l-.814.806c-.049.048-.098.147-.088.294.016.257.016.515 0 .772-.01.147.038.246.088.294l.814.806c.475.469.679 1.216.364 1.891a7.977 7.977 0 0 1-.704 1.217c-.428.61-1.176.807-1.82.63l-1.102-.302c-.067-.019-.177-.011-.3.071a5.909 5.909 0 0 1-.668.386c-.133.066-.194.158-.211.224l-.29 1.106c-.168.646-.715 1.196-1.458 1.26a8.006 8.006 0 0 1-1.402 0c-.743-.064-1.289-.614-1.458-1.26l-.289-1.106c-.018-.066-.079-.158-.212-.224a5.738 5.738 0 0 1-.668-.386c-.123-.082-.233-.09-.299-.071l-1.103.303c-.644.176-1.392-.021-1.82-.63a8.12 8.12 0 0 1-.704-1.218c-.315-.675-.111-1.422.363-1.891l.815-.806c.05-.048.098-.147.088-.294a6.214 6.214 0 0 1 0-.772c.01-.147-.038-.246-.088-.294l-.815-.806C.635 6.045.431 5.298.746 4.623a7.92 7.92 0 0 1 .704-1.217c.428-.61 1.176-.807 1.82-.63l1.102.302c.067.019.177.011.3-.071.214-.143.437-.272.668-.386.133-.066.194-.158.211-.224l.29-1.106C6.009.645 6.556.095 7.299.03 7.53.01 7.764 0 8 0Zm-.571 1.525c-.036.003-.108.036-.137.146l-.289 1.105c-.147.561-.549.967-.998 1.189-.173.086-.34.183-.5.29-.417.278-.97.423-1.529.27l-1.103-.303c-.109-.03-.175.016-.195.045-.22.312-.412.644-.573.99-.014.031-.021.11.059.19l.815.806c.411.406.562.957.53 1.456a4.709 4.709 0 0 0 0 .582c.032.499-.119 1.05-.53 1.456l-.815.806c-.081.08-.073.159-.059.19.162.346.353.677.573.989.02.03.085.076.195.046l1.102-.303c.56-.153 1.113-.008 1.53.27.161.107.328.204.501.29.447.222.85.629.997 1.189l.289 1.105c.029.109.101.143.137.146a6.6 6.6 0 0 0 1.142 0c.036-.003.108-.036.137-.146l.289-1.105c.147-.561.549-.967.998-1.189.173-.086.34-.183.5-.29.417-.278.97-.423 1.529-.27l1.103.303c.109.029.175-.016.195-.045.22-.313.411-.644.573-.99.014-.031.021-.11-.059-.19l-.815-.806c-.411-.406-.562-.957-.53-1.456a4.709 4.709 0 0 0 0-.582c-.032-.499.119-1.05.53-1.456l.815-.806c.081-.08.073-.159.059-.19a6.464 6.464 0 0 0-.573-.989c-.02-.03-.085-.076-.195-.046l-1.102.303c-.56.153-1.113.008-1.53-.27a4.44 4.44 0 0 0-.501-.29c-.447-.222-.85-.629-.997-1.189l-.289-1.105c-.029-.11-.101-.143-.137-.146a6.6 6.6 0 0 0-1.142 0ZM11 8a3 3 0 1 1-6 0 3 3 0 0 1 6 0ZM9.5 8a1.5 1.5 0 1 0-3.001.001A1.5 1.5 0 0 0 9.5 8Z"></path></svg>** をクリックします。
1. 表示されるページで、[組織の設定] 列に必要な変更を加えます。

データ リユーザブルズ.secret-scanning.pattern-enablement-org-enterprise %}

secret scanning パターン構成ページでデータを読み取る方法の詳細については、 「[AUTOTITLE](/code-security/reference/secret-security/secret-scanning-pattern-configuration-data) 」を参照してください。


## 組織のセキュリティ マネージャーの作成

セキュリティ マネージャーロールは、組織全体のセキュリティ設定とアラートを管理する機能を組織のメンバーに付与します。 セキュリティ マネージャーは、セキュリティの概要を通じて、組織内のすべてのリポジトリのデータを表示できます。

セキュリティ マネージャー ロールの詳細については、「[AUTOTITLE](/organizations/managing-peoples-access-to-your-organization-with-roles/managing-security-managers-in-your-organization)」を参照してください。


セキュリティ マネージャー ロールの割り当てについては、「[AUTOTITLE](/organizations/managing-peoples-access-to-your-organization-with-roles/using-organization-roles#assigning-an-organization-role)」を参照してください。