セキュリティおよび分析設定の管理について
GitHub は、組織内のリポジトリをセキュリティで保護するのに役立ちます。 組織でメンバーが作成する既存または新規のリポジトリすべてについて、セキュリティおよび分析機能を管理できます。
GitHub Secret Protection or GitHub Code Securityのライセンスをお持ちの場合は、これらの機能へのアクセスを管理することもできます。 詳しくは、「[AUTOTITLE](/get-started/learning-about-github/about-github-advanced-security)」をご覧ください。
パブリック リポジトリで既定で有効になっているセキュリティと分析の機能には、無効にできないものがあります。
security configuration (組織内のリポジトリに適用できるセキュリティ有効化設定のコレクション) を使用して、大規模なセキュリティ機能をすばやく有効にすることができます。 Advanced Security を使用して、組織レベルで global settings 機能をカスタマイズできます。 「大規模なセキュリティ機能の有効化について」をご覧ください。
セキュリティ機能と分析機能を有効にした場合、GitHub はリポジトリで読み取り専用分析を実行します。
Dependabotがプライベートの依存関係にアクセスできるようにする
Dependabot では、プロジェクト内の古い依存関係参照をチェックし、それらを更新するためのプル要求を自動的に生成できます。 これを行うには、 Dependabot が対象となるすべての依存関係ファイルにアクセスできる必要があります。 通常、1 つ以上の依存関係にアクセスできない場合、バージョン更新は失敗します。 詳しくは、「[AUTOTITLE](/code-security/dependabot/dependabot-version-updates/about-dependabot-version-updates)」をご覧ください。
既定では、 Dependabot は、プライベート リポジトリ、プライベート パッケージ レジストリにある依存関係を更新できません。 ただし、依存関係が、その依存関係を使用するプロジェクトと同じ組織内のプライベートGitHub リポジトリにある場合は、ホスト リポジトリへのアクセス権を付与することで、 Dependabot にバージョンの更新を正常に許可できます。
コードがプライベート レジストリ レジストリ内のパッケージに依存している場合は、リポジトリ レベルでこれを構成することで、 Dependabot にこれらの依存関係のバージョンを更新させることができます。 これを行うには、リポジトリの dependabot.yml ファイルに認証の詳細を追加します。 詳細については、「上位 registries キー」を参照してください。
プライベートDependabotまたは内部アクセス権を付与する方法の詳細については、組織のグローバル セキュリティ設定の構成 を参照してください。
組織内の個々のリポジトリから GitHub Advanced Security 機能へのアクセスを削除する
security configurationsを使用して、組織内の個々のリポジトリからGitHub Advanced Security機能へのアクセスを削除できます。 詳しくは、「[AUTOTITLE](/code-security/securing-your-organization/managing-the-security-of-your-organization/managing-your-github-advanced-security-license-usage#turning-off-github-advanced-security-features-on-select-repositories-in-your-organization)」をご覧ください。