カスタム セキュリティ構成の作成

custom security configurations

について

custom security configurations を構成する前に、GitHub-recommended security configuration を使用して Organization をセキュリティで保護してから、リポジトリのセキュリティ指摘事項を評価することをお勧めします。 詳しくは、「組織での GitHub で推奨されるセキュリティ構成の適用」をご覧ください。

custom security configurations を使用すると、GitHub のセキュリティ製品の有効化設定のコレクションを作成して、Organization の特定のセキュリティ ニーズを満たすことができます。 たとえば、リポジトリのグループごとに異なる custom security configuration を作成し、さまざまなレベルの可視性、リスク許容度、および影響を反映できます。

構成に GitHub Code Security または GitHub Secret Protection の機能を含めるかどうかを選択することもできます。含めた場合、プライベートおよび内部リポジトリに適用すると、これらの機能によって使用コストが発生する (または GitHub Advanced Security ライセンスが必要になる) ことに注意してください。詳しくは、「GitHub Advanced Security について」をご覧ください。

custom security configuration の作成

1. GitHub の右上隅でプロフィール写真を選んでから、 [Your organizations] をクリックします。1. 組織名の下で、 [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

   
   1. サイドバーの [Security] セクションで、 [Advanced Security] ドロップダウン メニューを選び、[Configurations] をクリックします。

2. [Security configurations] セクションで、[New configuration] をクリックします。

3. [Security configurations] ページで custom security configuration が見つけやすく、その目的がはっきりわかるように、構成に名前を付けて説明を作成します。

4. 必要に応じて、プライベート および内部リポジトリの有料機能である "Secret Protection" を有効にします。 Secret Protection を有効にすると、secret scanning のアラートが有効になります。 さらに、次の secret scanning 機能の既存の設定を有効化、無効化、または保持するかどうかを選択できます:

   • 有効性チェック。 パートナー パターンの有効性チェックの詳細については、「シークレット スキャンからのアラートの評価」を参照してください。
   • プロバイダー以外のパターン。 プロバイダー以外のパターンのスキャンの詳細については、「サポートされているシークレット スキャン パターン」と「シークレット スキャンからのアラートの表示とフィルター処理」を参照してください。
   • 汎用パスワードのスキャン。 詳細については、「Copilotシークレットスキャンを使用したジェネリックシークレットの責任ある検出」を参照してください。
   • プッシュ保護。 プッシュ保護について詳しくは、「プッシュ保護について」をご覧ください。
   • バイパス特権。 バイパス特権を割り当てることで、選択した組織メンバーはプッシュ保護をバイパスでき、他のすべての共同作成者に対するレビューと承認プロセスがあります。 「プッシュ保護のために委任されたバイパスについて」を参照してください。
   • 直接アラートの無視の防止。 詳細については、「シークレット スキャンの委任アラート無視を有効にする」を参照してください。

5. 必要に応じて、プライベート および内部リポジトリの有料機能である "Code Security" を有効にします。 次の code scanning 機能の既存の設定を有効化、無効化、または保持するかどうかを選択できます。

   • 既定の設定。 詳しくは、「コード スキャンの既定セットアップの構成」をご覧ください。
   • ランナーの種類。 特定のランナーを code scanning の対象にする場合は、このステップでカスタム ラベルの付いたランナーを使用できます。 「コード スキャンの既定セットアップの構成」を参照してください。
   • 直接アラートの無視の防止。 詳細については、「コード スキャンに対して委任アラート無視を有効にする」を参照してください。

6. 引き続き [Code Security] の下の [Dependency scanning] テーブルで、次の依存関係スキャン機能の既存の設定を有効化、無効化、または保持するかどうかを選択します。

   • 依存関係グラフ 依存関係グラフの詳細については、「依存関係グラフについて」を参照してください。

     Tip

     [Code Security] と [Dependency Graph] の両方が有効になっている場合は、依存関係の確認が有効になります。「依存関係の確認について」を参照してください。

   • 依存関係の自動送信。 依存関係の自動送信の詳細については、「リポジトリの依存関係の自動送信の構成」を参照してください。
   • Dependabot のアラート。 Dependabot の詳細については、「Dependabot アラートについて」を参照してください。
   • セキュリティ更新プログラム。 セキュリティ アップデートの詳細については、「Dependabot のセキュリティ アップデート」を参照してください。

7. [Private vulnerability reporting] で、既存の設定を有効化、無効化、または保持するかどうかを選択します。 プライベート脆弱性レポートの詳細については、「リポジトリのプライベート脆弱性レポートの構成」を参照してください。

8. 必要に応じて、[Policy] セクションで、追加のオプションを使用して、構成の適用方法を制御できます。

   • 新しく作成されたリポジトリの既定値として使用します。 [None] ドロップダウン メニューを選び、[Public]、[Private and internal]、または [All repositories] をクリックします。

     Note

     Organization での既定の security configuration は、organization で作成された新しいリポジトリにのみ自動的に適用されます。 リポジトリが組織に転送された場合でも、リポジトリに対し適切な security configuration を手動で適用する必要があります。

   • 構成を適用します。 リポジトリ所有者は、構成によって有効または無効になっている機能を変更できなくなります (設定されていない機能は適用されません)。 ドロップダウン メニューから [Enforce] を選択します。

9. custom security configuration の作成を完了するには、[構成の保存] をクリックします。

次のステップ

Organization 内のリポジトリに custom security configuration を適用するには、「カスタム セキュリティ構成の適用」を参照してください。

custom security configuration の編集方法については、「カスタム セキュリティ構成の編集」を参照してください。