GitHub Advanced Security
製品の有効化について
GitHub Advanced Security の機能は、開発者がコードのセキュリティと品質を高め、維持するのに役立ちます。 詳しくは、「GitHub Advanced Security について」をご覧ください。
エンタープライズの GitHub Advanced Security を有効にすると、アクセスを制限するポリシーを設定しない限り、すべての組織のリポジトリ管理者が機能を有効にできます。 「エンタープライズのコード セキュリティと分析のためのポリシーの適用」を参照してください。
API を使って GitHub Secret Protection or GitHub Code Security の機能を有効または無効にすることもできます。 詳細については、REST API ドキュメントの「シークレット スキャン用の REST API エンドポイント」を参照してください。
GitHub Advanced Securityの段階的なデプロイに関するガイダンスについては、[AUTOTITLE](/code-security/adopting-github-advanced-security-at-scale/introduction-to-adopting-github-advanced-security-at-scale) を参照してください。
ライセンスに含まれているかどうかを確認する Advanced Security
- GitHub Enterprise Server の右上隅にあるプロフィール画像をクリックしてから、[Enterprise settings] をクリックします。
- ページの上部にある [ Settings] をクリックします。
- [ Settings] で、[License] をクリックします。
- ライセンスに GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Securityが含まれている場合は、ライセンス ページに現在の使用状況の詳細を示すセクションが表示されます。
有効にするための前提条件 Secret Protection and Code Security
-
GitHub Enterprise ライセンスをアップグレードして、Secret Protection and Code Securityを含めます。 ライセンスの詳細については、「[AUTOTITLE](/billing/managing-billing-for-your-products/managing-billing-for-github-advanced-security/about-billing-for-github-advanced-security)」をご覧ください。 -
次に、新しいライセンス ファイルをダウンロードします。 「GitHub Enterprise のライセンスのダウンロード」を参照してください。
-
新しいライセンス ファイルを GitHub Enterprise Serverにアップロードします。 「GitHub Enterprise Server への新しいライセンスのアップロード」を参照してください。
-
有効にする機能の前提条件を確認します。
- Code scanning「 アプライアンスのコード スキャンの構成」を参照してください。
- Secret scanning「 アプライアンスのシークレットスキャンを設定する」を参照してください。
- Dependabot「 エンタープライズ向けの Dependabot の有効化」を参照してください。
Advanced Security機能の有効化と無効化
警告
- この設定を変更すると、GitHub Enterprise Server 上のユーザーが利用するサービスが再起動されます。 ユーザーのダウンタイムを最小限に抑えるために、この変更のタイミングは慎重に決めてください。
- Enterprise 内の organization が展開した既存のセキュリティ構成に影響しないように、機能の有効化設定を変更する予定がある場合は、事前に organization 所有者に連絡することをお勧めします。
-
GitHub Enterprise Server の管理アカウントから、任意のページの右上隅にある をクリックします。
-
[サイト管理者] ページにまだ表示されていない場合は、左上隅の [サイト管理者] をクリックします。
-
[ Site admin] サイドバーで、[[Management Console]] をクリックします。
-
[設定] サイドバーで [セキュリティ] をクリックします。
-
[セキュリティ] で、有効にする機能を選び、無効にする機能は選択を解除してください。
-
[設定] サイドバーで [設定の保存] をクリックします。
メモ
[Management Console] で設定を保存すると、システム サービスが再起動され、ユーザーにわかるダウンタイムが発生する可能性があります。
-
設定の実行が完了するのを待ってください。
GitHub Enterprise Serverの再起動が完了したら、新しく有効にされた機能に必要な追加のリソースを設定する準備が整います。 「[AUTOTITLE](/admin/code-security/managing-github-advanced-security-for-your-enterprise/configuring-code-scanning-for-your-appliance)」を参照してください。
管理シェル (SSH) を使用した Advanced Security 機能の有効化または無効化
GitHub Enterprise Serverでプログラムによって機能を有効または無効にすることができます。
GitHub Enterprise Serverの管理シェルおよびコマンド ライン ユーティリティの詳細については、「[AUTOTITLE](/admin/configuration/configuring-your-enterprise/accessing-the-administrative-shell-ssh)」および[「AUTOTITLE](/admin/configuration/configuring-your-enterprise/command-line-utilities#ghe-config)」を参照してください。
たとえば、ステージングまたはディザスター リカバリーのためにインスタンスをデプロイするときに、コードとしてのインフラストラクチャ ツールを使用して任意の Advanced Security 機能を有効にすることができます。
-
お使いの GitHub Enterprise Server インスタンス に SSH で接続します。 インスタンスが複数のノードで構成されている場合は (高可用性や geo レプリケーションが構成されている場合など)、プライマリ ノードに SSH 接続します。 クラスターを使用する場合は、任意のノードに SSH 接続できます。 HOSTNAME をインスタンスのホスト名、またはノードのホスト名または IP アドレスに置き換えます。 詳しくは、「管理シェル (SSH) にアクセスする」をご覧ください。
Shell ssh -p 122 admin@HOSTNAME
ssh -p 122 admin@HOSTNAME -
Advanced Securityの機能を有効にします。-
code scanningを有効にするには、次のコマンドを入力します。
Shell ghe-config app.minio.enabled true ghe-config app.code-scanning.enabled true
ghe-config app.minio.enabled true ghe-config app.code-scanning.enabled true -
secret scanningを有効にするには、次のコマンドを入力します。
Shell ghe-config app.secret-scanning.enabled true
ghe-config app.secret-scanning.enabled true -
必要に応じて、 secret scanningの有効性チェックを有効にするには、
-
次のコマンドを入力します。
Shell ghe-config app.secret-scanning.validity-checks-available-on-instance true`
ghe-config app.secret-scanning.validity-checks-available-on-instance true` -
送信接続が可能かどうかを確認するには、次の値を使用します。
Shell /usr/local/share/enterprise/ghe-secret-scanning-validity-checks-connection-test
/usr/local/share/enterprise/ghe-secret-scanning-validity-checks-connection-test
-
-
依存関係グラフを有効にするには、次のコマンドを入力します。
Shell ghe-config app.dependency-graph.enabled true
ghe-config app.dependency-graph.enabled true
-
-
必要に応じて、 Advanced Securityの機能を無効にします。
-
code scanningを無効にするには、次のコマンドを入力します。
Shell ghe-config app.code-scanning.enabled false
ghe-config app.code-scanning.enabled false-
必要に応じて、 code scanningを無効にした場合は、 Advanced Securityの内部 MinIO サービスを無効にすることもできます。 インスタンスに対して Dependabot updates が有効になっていて、このサービスを無効にする場合は、 Dependabot updatesも無効にする必要があります。 サービスを無効にしても、 GitHub Actions または GitHub Packagesの MinIO ストレージには影響しません。 Dependabot updates の詳細については、「エンタープライズ向けの Dependabot の有効化」を参照してください。
-
Dependabot updatesを無効にするには、次のコマンドを入力します。
Shell ghe-config app.dependabot.enabled false
ghe-config app.dependabot.enabled false -
MinIO を無効にするには、次のコマンドを入力します。
Shell ghe-config app.minio.enabled false
ghe-config app.minio.enabled false
-
-
-
secret scanningを無効にするには、次のコマンドを入力します。
Shell ghe-config app.secret-scanning.enabled false
ghe-config app.secret-scanning.enabled false -
依存関係グラフを無効にするには、次のコマンドを入力します。
ghe-config app.dependency-graph.enabled false
-
-
構成を適用するには、次のコマンドを実行します。
メモ
構成の実行中に、お使いの GitHub Enterprise Server インスタンス 上のサービスが再起動する可能性があり、これによりユーザーに短時間のダウンタイムが発生する場合があります。
Shell ghe-config-apply
ghe-config-apply -
設定の実行が完了するのを待ってください。