GitHub Advanced Security について

          GitHub Advanced Security
          製品について

          GitHub には、コードの品質の向上と維持に役立つ多くの機能があります。 これらの一部は、依存関係グラフや Dependabot alertsなど、すべてのプランに含まれています。

その他のセキュリティ機能では、 GitHubの Advanced Security 製品のいずれかを購入する必要があります。

• GitHub Secret Protection: secret scanning やプッシュ保護など、シークレットの漏洩の検出と防止に役立つ機能が含まれます。
• GitHub Code Security: code scanning、プレミアム Dependabot 機能、依存関係レビューなど、脆弱性の検出と修正に役立つ機能が含まれます。

または、GitHub Secret Protection と GitHub Code Security のすべての機能が含まれる、GitHub Advanced Security ライセンスを保持できます。

          GitHub TeamまたはGitHub Enterpriseを購入するには、GitHub Code SecurityまたはGitHub Secret Protectionプランに参加している必要があります。 詳細については、「[AUTOTITLE](/get-started/learning-about-github/githubs-plans)」および「[AUTOTITLE](/billing/managing-billing-for-your-products/managing-billing-for-github-advanced-security/about-billing-for-github-advanced-security)」を参照してください。

GitHub Code Security

          GitHub Code Securityでは、次の機能を利用できます。

* ** Code scanning **: CodeQL またはサードパーティのツールを使用して、コード内の潜在的なセキュリティの脆弱性とコーディング エラーを検索します。

•         **
          CodeQL CLI
          **: CodeQLプロセスをソフトウェア プロジェクトでローカルに実行するか、code scanningにアップロードするためのGitHub結果を生成します。
  

•         **
          カスタム自動トリアージ ルールのDependabot**: Dependabot alertsを大規模に管理するために、無視するアラート、再通知を休止するアラート、またはセキュリティ更新をトリガーするアラートを自動化します。
  

•         **依存関係の確認:** プル要求をマージする前に、依存関係に対する変更の影響をすべて示し、脆弱なバージョンの詳細を表示します。
  

•         **セキュリティの概要**: organization 全体のリスク分散を把握します。
  

機能について詳しくは、「GitHubセキュリティ機能」を参照してください。

GitHub Secret Protection

          GitHub Secret Protectionでは、次の機能を利用できます。

* Secret scanning: リポジトリにチェックインされているシークレット (たとえばキーやトークンなど) を検出し、アラートを受信します。 * プッシュ保護: シークレットを含むコミットをブロックすることで、シークレットリークが発生する前に防止します。 * カスタム パターン: organization 固有のシークレットの漏洩を検出および防止します。 * プッシュ保護の委任されたバイパスと委任されたアラートの無視: Enterprise 内で機密性の高いアクションを実行できるユーザーをより適切に制御するための承認プロセスを実装し、ガバナンスを大規模にサポートします。 * セキュリティの概要: organization 全体のリスク分散を理解します。

個々の機能の詳細については、「GitHubセキュリティ機能」を参照してください。

無料のセキュリティ リスク評価を実行する

          <a href="https://github.com/get_started?with=risk-assessment&ref_product=code-scanning&ref_type=engagement&ref_style=button" target="_blank" class="btn btn-primary mt-3 mr-3 no-underline">
          <span>セキュリティ リスク評価の概要</span><svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-link-external" aria-label="link external icon" role="img"><path d="M3.75 2h3.5a.75.75 0 0 1 0 1.5h-3.5a.25.25 0 0 0-.25.25v8.5c0 .138.112.25.25.25h8.5a.25.25 0 0 0 .25-.25v-3.5a.75.75 0 0 1 1.5 0v3.5A1.75 1.75 0 0 1 12.25 14h-8.5A1.75 1.75 0 0 1 2 12.25v-8.5C2 2.784 2.784 2 3.75 2Zm6.854-1h4.146a.25.25 0 0 1 .25.25v4.146a.25.25 0 0 1-.427.177L13.03 4.03 9.28 7.78a.751.751 0 0 1-1.042-.018.751.751 0 0 1-.018-1.042l3.75-3.75-1.543-1.543A.25.25 0 0 1 10.604 1Z"></path></svg></a>

          GitHub TeamおよびGitHub Enterpriseの組織は、無料のセキュリティ リスク評価を実行して、セキュリティの脆弱性への露出を理解できます。

* シークレット リーク: 組織で漏洩したシークレットをスキャンし、 GitHub Secret Protectionによって防止された可能性がある数を確認します。 「GitHubを使用したシークレット セキュリティについて」を参照してください。

企業での GitHub Code Security と GitHub Secret Protection

          GitHub Code SecurityとGitHub Secret Protectionの展開を大まかに計画し、推奨されるロールアウト フェーズを確認するために知っておくべきことについては、[AUTOTITLE を](/code-security/adopting-github-advanced-security-at-scale)参照してください。

機能の有効化

security configuration (組織内のリポジトリに適用できるセキュリティ有効化設定のコレクション) を使用して、大規模なセキュリティ機能をすばやく有効にすることができます。 global settings を使用して、組織レベルで Advanced Security 機能をカスタマイズできます。 「大規模なセキュリティ機能の有効化について」をご覧ください。

          GitHub TeamまたはGitHub Enterpriseプランの場合は、チームまたはエンタープライズ全体のライセンス使用がライセンス ページに表示されます。 
          

Azure ReposGitHub Advanced Securityについて

Azure Reposでを使用したい場合は、リソースサイトの & Azure DevOpsを参照してください。 ドキュメントについては、Microsoft Learn の Configure GitHub Advanced Security for Azure DevOps を参照してください。

参考資料

•         [AUTOTITLE](/code-security/getting-started/github-security-features)
  

•         [
          GitHub パブリック ロードマップ](https://github.com/github/roadmap)
  

•         [AUTOTITLE](/admin/policies/enforcing-policies-for-your-enterprise/enforcing-policies-for-code-security-and-analysis-for-your-enterprise)