custom security configurations
について
GitHub-recommended security configuration で Enterprise をセキュリティ保護した後、custom security configurations を構成する前に、リポジトリでのセキュリティの調査結果を評価することをお勧めします。 詳しくは、「Enterprise に対する GitHub 推奨のセキュリティ構成の適用」をご覧ください。
custom security configurations を使うと、GitHub のセキュリティ製品の有効化設定のコレクションを作成して、Enterprise で必要な特定のセキュリティを満たすことができます。 たとえば、organization または organization のグループごとに異なる custom security configuration を作成して、それらに固有のセキュリティ要件とコンプライアンス義務を反映できます。
構成に GitHub Code Security または GitHub Secret Protection の機能を含めるかどうかを選択することもできます。
その場合、プライベートおよび内部リポジトリに適用すると、これらの機能によって使用コストが発生する (または GitHub Advanced Security ライセンスが必要になる) ことに注意してください。 詳しくは、「GitHub Advanced Security について」をご覧ください。
重要
一部の設定の順序と名前は、お使いのライセンスが、元の GitHub Advanced Security 製品用のものか、それとも GitHub Code Security と GitHub Secret Protection の 2 つの新しい製品用のものかによって異なります。「GitHub Advanced Security 構成の作成」または「Secret Protection and Code Security 構成の作成」を参照してください。
Secret Protection and Code Security 構成の作成
-
GitHub の右上隅にあるプロフィール写真をクリックします。
-
ご自分の環境に応じて、[Your enterprise] または [Your enterprises] をクリックし、表示するエンタープライズをクリックします。
-
ページの上部にある [ Settings] をクリックします。
-
左側のサイドバーで、 [Advanced Security] をクリックします。
-
[Security configurations] セクションで、[New configuration] をクリックします。
-
[Security configurations] ページで custom security configuration が見つけやすく、その目的がはっきりわかるように、構成に名前を付けて説明を作成します。
-
必要に応じて、プライベート および内部リポジトリの有料機能である "Secret Protection" を有効にします。 Secret Protection を有効にすると、secret scanning のアラートが有効になります。 さらに、次の secret scanning 機能の既存の設定を有効化、無効化、または保持するかどうかを選択できます:
- 有効性チェック。 パートナー パターンの有効性チェックの詳細については、「シークレット スキャンからのアラートの評価」を参照してください。
- プロバイダー以外のパターン。 プロバイダー以外のパターンのスキャンの詳細については、「サポートされているシークレット スキャン パターン」と「シークレット スキャンからのアラートの表示とフィルター処理」を参照してください。
- 汎用パスワードのスキャン。 詳細については、「Copilotシークレットスキャンを使用したジェネリックシークレットの責任ある検出」を参照してください。
- プッシュ保護。 プッシュ保護の詳細については、「プッシュ保護について」を参照してください。
- 直接アラートの無視の防止。 詳細については、「シークレット スキャンの委任アラート無視を有効にする」を参照してください。
-
必要に応じて、プライベート および内部リポジトリの有料機能である "Code Security" を有効にします。 次の code scanning 機能の既存の設定を有効化、無効化、または保持するかどうかを選択できます。
- 既定の設定。 詳しくは、「コード スキャンの既定セットアップの構成」をご覧ください。
- ランナーの種類。 特定のランナーを code scanning の対象にする場合は、このステップでカスタム ラベルの付いたランナーを使用できます。 「コード スキャンの既定セットアップの構成」を参照してください。
- 直接アラートの無視の防止。 詳細については、「コード スキャンに対して委任アラート無視を有効にする」を参照してください。
-
引き続き [Code Security] の下の [Dependency scanning] テーブルで、次の依存関係スキャン機能の既存の設定を有効化、無効化、または保持するかどうかを選択します。
- 依存関係グラフ 依存関係グラフの詳細については、「依存関係グラフについて」を参照してください。
ヒント
[Code Security] と [Dependency Graph] の両方が有効になっている場合は、依存関係の確認が有効になります。「依存関係の確認について」を参照してください。
- 依存関係の自動送信。 依存関係の自動送信の詳細については、「リポジトリの依存関係の自動送信の構成」を参照してください。
- Dependabot のアラート。 Dependabot の詳細については、「Dependabot アラートについて」を参照してください。
- セキュリティ更新プログラム。 セキュリティ更新プログラムの詳細については、「Dependabot のセキュリティ アップデート」を参照してください。
- 依存関係グラフ 依存関係グラフの詳細については、「依存関係グラフについて」を参照してください。
-
[Private vulnerability reporting] で、既存の設定を有効化、無効化、または保持するかどうかを選択します。 プライベート脆弱性レポートの詳細については、「リポジトリのプライベート脆弱性レポートの構成」を参照してください。
-
必要に応じて、[Policy] セクションで、追加のオプションを使用して、構成の適用方法を制御できます。
- 新しく作成されたリポジトリの既定値として使用します。 [None] ドロップダウン メニューを選び、[Public]、[Private and internal]、または [All repositories] をクリックします。
メモ
Organization での既定の security configuration は、organization で作成された新しいリポジトリにのみ自動的に適用されます。 リポジトリが組織に転送された場合でも、リポジトリに対し適切な security configuration を手動で適用する必要があります。
- 構成を適用します。 リポジトリ所有者は、構成によって有効または無効になっている機能を変更できなくなります (設定されていない機能は適用されません)。 ドロップダウン メニューから [Enforce] を選択します。
- 新しく作成されたリポジトリの既定値として使用します。 [None] ドロップダウン メニューを選び、[Public]、[Private and internal]、または [All repositories] をクリックします。
-
custom security configuration の作成を完了するには、[構成の保存] をクリックします。
メモ
Enterprise 内のユーザーが REST API を使って、適用対象の構成で機能の有効化状態を変更しようとした場合、API 呼び出しは成功したように見えますが、有効化状態は変更されません。
状況によっては、リポジトリに対する security configurations の適用が中断される場合があります。 たとえば、次の場合、code scanning の有効化はリポジトリには適用されません。
- GitHub Actions は、最初はリポジトリで有効になっていますが、その後、リポジトリで無効になります。
- code scanning 構成に必要な GitHub Actions は、リポジトリで使用できません。
- code scanning の既存のセットアップを使用して言語を分析することができない定義が変更されます。
GitHub Advanced Security 構成の作成
-
GitHub の右上隅にあるプロフィール写真をクリックします。
-
ご自分の環境に応じて、[Your enterprise] または [Your enterprises] をクリックし、表示するエンタープライズをクリックします。
-
ページの上部にある [ Settings] をクリックします。
-
左側のサイドバーで、 [Advanced Security] をクリックします。
-
上部のセクションにある [New configuration] をクリックします。
-
[New configuration] ページで custom security configuration を見つけやすくし、その目的を明確にするため、構成に名前を付けて説明を作成します。
-
[GitHub Advanced Security features] の行で、GitHub Advanced Security (GHAS) 機能を含めるか除外するかを選びます。
-
[Secret scanning] テーブルで、次のセキュリティ機能について、有効にする、無効にする、既存の設定を保持することを選びます。
- 有効性チェック。 パートナー パターンの有効性チェックの詳細については、「シークレット スキャンからのアラートの評価」を参照してください。
- プロバイダー以外のパターン。 プロバイダー以外のパターンのスキャンの詳細については、「サポートされているシークレット スキャン パターン」と「シークレット スキャンからのアラートの表示とフィルター処理」を参照してください。
- 汎用パスワードのスキャン。 詳細については、「Copilotシークレットスキャンを使用したジェネリックシークレットの責任ある検出」を参照してください。
- プッシュ保護。 プッシュ保護の詳細については、「プッシュ保護について」を参照してください。
- 直接アラートの無視の防止。 詳細については、「シークレット スキャンの委任アラート無視を有効にする」を参照してください。
-
[Code scanning] テーブルで、code scanning の既定のセットアップについて、有効にする、無効にする、または既存の設定を保持することを選びます。
- 既定の設定。 詳しくは、「コード スキャンの既定セットアップの構成」をご覧ください。
- ランナーの種類。 特定のランナーを code scanning の対象にする場合は、このステップでカスタム ラベルの付いたランナーを使用できます。 「コード スキャンの既定セットアップの構成」を参照してください。
- 直接アラートの無視の防止。 詳細については、「コード スキャンに対して委任アラート無視を有効にする」を参照してください。
-
[Dependency scanning] テーブルで、次の依存関係スキャン機能の既存の設定を有効にする、無効にする、または保持することを選びます。
- 依存関係グラフ 依存関係グラフの詳細については、「依存関係グラフについて」を参照してください。
ヒント
[GitHub Advanced Security] と [Dependency graph] の両方が有効になっている場合は、依存関係の確認が有効になります。「依存関係の確認について」を参照してください。
- 依存関係の自動送信。 依存関係の自動送信の詳細については、「リポジトリの依存関係の自動送信の構成」を参照してください。
- Dependabot のアラート。 Dependabot の詳細については、「Dependabot アラートについて」を参照してください。
- セキュリティ更新プログラム。 セキュリティ更新プログラムの詳細については、「Dependabot のセキュリティ アップデート」を参照してください。
- 依存関係グラフ 依存関係グラフの詳細については、「依存関係グラフについて」を参照してください。
-
[Private vulnerability reporting] で、既存の設定を有効化、無効化、または保持するかどうかを選択します。 プライベート脆弱性レポートの詳細については、「リポジトリのプライベート脆弱性レポートの構成」を参照してください。
-
必要に応じて、[Policy] セクションで、追加のオプションを使用して、構成の適用方法を制御できます。
- 新しく作成されたリポジトリの既定値として使用します。 [None] ドロップダウン メニューを選び、[Public]、[Private and internal]、または [All repositories] をクリックします。
メモ
Organization での既定の security configuration は、organization で作成された新しいリポジトリにのみ自動的に適用されます。 リポジトリが組織に転送された場合でも、リポジトリに対し適切な security configuration を手動で適用する必要があります。
- 構成を適用します。 リポジトリ所有者は、構成によって有効または無効になっている機能を変更できなくなります (設定されていない機能は適用されません)。 ドロップダウン メニューから [Enforce] を選択します。
- 新しく作成されたリポジトリの既定値として使用します。 [None] ドロップダウン メニューを選び、[Public]、[Private and internal]、または [All repositories] をクリックします。
-
custom security configuration の作成を完了するには、[構成の保存] をクリックします。
メモ
Enterprise 内のユーザーが REST API を使って、適用対象の構成で機能の有効化状態を変更しようとした場合、API 呼び出しは成功したように見えますが、有効化状態は変更されません。
状況によっては、リポジトリに対する security configurations の適用が中断される場合があります。 たとえば、次の場合、code scanning の有効化はリポジトリには適用されません。
- GitHub Actions は、最初はリポジトリで有効になっていますが、その後、リポジトリで無効になります。
- code scanning 構成に必要な GitHub Actions は、リポジトリで使用できません。
- code scanning の既存のセットアップを使用して言語を分析することができない定義が変更されます。
次のステップ
必要に応じて、Enterprise に追加の secret scanning 設定を構成するには、「Enterprise 用の追加のシークレット スキャン設定の構成」を参照してください。
Organization 内のリポジトリに custom security configuration を適用するには、「カスタム セキュリティ構成の適用」を参照してください。
custom security configuration の編集方法については、「カスタム セキュリティ構成の編集」を参照してください。