カスタム セキュリティ構成を作成する

組織内のリポジトリの特定のセキュリティ ニーズを満たす custom security configuration を構築します。

この機能を使用できるユーザーについて

管理者 ロールを持つ組織の所有者、セキュリティ マネージャー、および組織メンバー

この記事で

          custom security configurations

の概要

          custom security configurationsを使用すると、組織の特定のセキュリティ ニーズを満たすために、GitHubのセキュリティ製品の有効化設定のコレクションを作成できます。 たとえば、組織または組織のグループごとに異なる custom security configuration を作成して、固有のセキュリティ要件とコンプライアンスの義務を反映させることができます。



          GitHub Code Security機能とGitHub Secret Protection機能のどちらを構成に含めるかを選択することもできます。

その場合は、プライベート リポジトリと内部リポジトリに適用すると、これらの機能によって使用コストが発生する (または GitHub Advanced Security ライセンスが必要) ことに注意してください。 詳しくは、「GitHub Advanced Security について」をご覧ください。

セキュリティ構成を作成するときは、次の点に注意してください。 * GitHub Enterprise Server インスタンスにサイト管理者によってインストールされた機能のみが UI に表示されます。 * 一部の機能は、組織または GitHub Enterprise Server インスタンスが関連する GitHub Advanced Security 製品 (GitHub Code Security または GitHub Secret Protection) を購入した場合にのみ表示されます。 * Dependabot security updatesや既定のセットアップcode scanningなどの特定の機能では、GitHub ActionsがGitHub Enterprise Server インスタンスにインストールされている必要もあります。

          >[!IMPORTANT]
          > 一部の設定の順序と名前は、お使いのライセンスが、元の GitHub Advanced Security 製品用のものか、それとも GitHub Code Security と GitHub Secret Protection の 2 つの新しい製品用のものかによって異なります。
          [
          GitHub Advanced Security構成の作成](#creating-a-github-advanced-security-configuration)または[Secret Protection and Code Security構成の作成を](#creating-a-secret-protection-and-code-security-configuration)参照してください。


          Secret Protection and Code Security構成の作成

  1. GitHub の右上隅にあるプロフィール画像をクリックしてから、[ Your organizations] をクリックします。

  2. Organization 名の下で、[ Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    組織のプロファイルのタブのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で囲まれています。

  3. サイドバーの [セキュリティ] セクションで、 Advanced Security ドロップダウン メニューを選択し、 Configurations をクリックします。

  4. [Security configurations] セクションで、[ 新しい構成] をクリックします。

  5. リポジトリのセキュリティ機能のグループを構成するには、[ カスタム構成] をクリックします。

  6.        custom security configurationを特定し、[Security configurations] ページでその目的を明確にするには、構成に名前を付けて説明を作成します。

  7. 必要に応じて、プライベート Secret Protectionと内部" を有効にします。 Secret Protectionを有効にすると、secret scanningのアラートが有効になります。 さらに、次の secret scanning 機能の既存の設定を有効、無効、または保持するかどうかを選択できます。 * プロバイダー以外のパターン。 プロバイダー以外のパターンのスキャンの詳細については、 サポートされているシークレット スキャン パターンシークレット スキャンからのアラートの表示とフィルター処理 を参照してください。 * プッシュ保護。 プッシュ保護の詳細については、 プッシュ保護について を参照してください。 * バイパス権限。 バイパス特権を割り当てることで、選択したアクターはプッシュ保護をバイパス できます。 他のすべての共同作成者に対するレビューと承認プロセスがあります。 「AUTOTITLE」を参照してください。 * 直接アラートの解除防止。 詳細については、 シークレット スキャンの委任アラート無視を有効にする を参照してください。

  8. 必要に応じて、プライベート Code Securityと内部" を有効にします。 次の code scanning 機能の既存の設定を有効、無効、または保持するかどうかを選択できます。 * 既定の設定。 既定のセットアップについて詳しくは、「コード スキャンの既定セットアップの構成」をご覧ください。

メモ

code scanning の現在のセットアップに関係なく、すべてのリポジトリに適用できる構成を作成するには、[Enabled with advanced setup allowed] を選びます。 この設定では、既定のセットアップは CodeQL 分析がアクティブに実行されていないリポジトリでのみ有効になります。 GitHub Enterprise Server 3.19 以降で利用できるオプション。__

  •      **ランナーの種類**。 
     code scanningの特定のランナーをターゲットにする場合は、この手順でカスタム ラベル付きのランナーを使用できます。 
     [「AUTOTITLE」を](/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning#assigning-labels-to-runners)参照してください。 

* 

          **直接アラートの解除防止**。 詳細については、 [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/enabling-delegated-alert-dismissal-for-code-scanning) を参照してください。

  1. [Code Security] の下の [依存関係スキャン] テーブルで、次の依存関係スキャン機能の既存の設定を有効、無効、または保持するかどうかを選択します。 * 依存関係グラフ 依存関係グラフの詳細については、「依存関係グラフについて」を参照してください。

    ヒント

    "Code Security" と依存関係グラフの両方が有効になっている場合は、依存関係の確認が有効になります。 依存関係の確認について を参照してください。

    •      **アラートDependabot**。 
     Dependabotの詳細については、「[AUTOTITLE」を](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts)参照してください。

    •      **セキュリティ更新プログラム**。 セキュリティ更新プログラムの詳細については、 [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates) を参照してください。

  2. 必要に応じて、[ポリシー] セクションで、追加のオプションを使用すると、構成の適用方法を制御できます。 * 新しく作成されたリポジトリの既定値として使用します。 [ なし ドロップダウン メニューを選択し、[ パブリック]、[ プライベート]、[内部]、[ すべてのリポジトリ] の順にクリックします。

    メモ

    Organization での既定の security configuration は、organization で作成された新しいリポジトリにのみ自動的に適用されます。 リポジトリが組織に転送された場合でも、リポジトリに対し適切な security configuration を手動で適用する必要があります。

    •      **構成を強制します**。 リポジトリ所有者は、構成によって有効または無効になっている機能を変更できなくなります (設定されていない機能は適用されません)。 ドロップダウン メニューから **[Enforce]** を選択します。

    メモ

    状況によっては、security configurationsの実施が妨げられることがあります。 「セキュリティ構成の適用」を参照してください。

  3.        custom security configurationの作成を完了するには、[**構成の保存]** をクリックします。


          GitHub Advanced Security構成の作成

  1. GitHub の右上隅にあるプロフィール画像をクリックしてから、[ Your organizations] をクリックします。

  2. Organization 名の下で、[ Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    組織のプロファイルのタブのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で囲まれています。

  3. サイドバーの [セキュリティ] セクションで、 Advanced Security ドロップダウン メニューを選択し、 Configurations をクリックします。

  4. [セキュリティ構成] セクションで、[新しい構成] をクリックします。

  5.        custom security configurationを特定し、[新しい構成] ページでその目的を明確にするには、構成に名前を付けて説明を作成します。

  6. [GitHub Advanced Security 機能] 行で、 GitHub Advanced Security (GHAS) 機能を含めるか除外するかを選択します。

  7. [Secret scanning] テーブルで、次のセキュリティ機能の既存の設定を有効、無効、または保持するかどうかを選択します。 * アラート。 シークレット スキャンニング アラートの詳細については、「AUTOTITLE」を参照してください。 * プロバイダー以外のパターン。 プロバイダー以外のパターンのスキャンの詳細については、 サポートされているシークレット スキャン パターンシークレット スキャンからのアラートの表示とフィルター処理 を参照してください。 * プッシュ保護。 プッシュ保護の詳細については、 プッシュ保護について を参照してください。 * バイパス権限。 バイパス特権を割り当てることで、選択したアクターはプッシュ保護をバイパス できます。 他のすべての共同作成者に対するレビューと承認プロセスがあります。 「AUTOTITLE」を参照してください。 * 直接アラートの解除防止。 詳細については、 シークレット スキャンの委任アラート無視を有効にする を参照してください。

  8. [Code scanning] テーブルで、既定のセットアップに対して既存の設定 code scanning 有効、無効、または保持するかどうかを選択します。 * 既定の設定。 既定のセットアップについて詳しくは、「コード スキャンの既定セットアップの構成」をご覧ください。

メモ

code scanning の現在のセットアップに関係なく、すべてのリポジトリに適用できる構成を作成するには、[Enabled with advanced setup allowed] を選びます。 この設定では、既定のセットアップは CodeQL 分析がアクティブに実行されていないリポジトリでのみ有効になります。 GitHub Enterprise Server 3.19 以降で利用できるオプション。__

  •      **ランナーの種類**。 
     code scanningの特定のランナーをターゲットにする場合は、この手順でカスタム ラベル付きのランナーを使用できます。 
     [「AUTOTITLE」を](/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning#assigning-labels-to-runners)参照してください。 

* 

          **直接アラートの解除防止**。 詳細については、 [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/enabling-delegated-alert-dismissal-for-code-scanning) を参照してください。

  1. [依存関係スキャン] テーブルで、次の依存関係スキャン機能の既存の設定を有効にする、無効にする、または保持するかを選択します。 * 依存関係グラフ 依存関係グラフの詳細については、「依存関係グラフについて」を参照してください。

    ヒント

    "GitHub Advanced Security" と依存関係グラフの両方が有効になっている場合は、依存関係の確認が有効になります。 依存関係の確認について を参照してください。

    •      **アラートDependabot**。 
     Dependabotの詳細については、「[AUTOTITLE」を](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts)参照してください。

    •      **セキュリティ更新プログラム**。 セキュリティ更新プログラムの詳細については、 [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates) を参照してください。

  2. 必要に応じて、[ポリシー] セクションで、追加のオプションを使用すると、構成の適用方法を制御できます。 * 新しく作成されたリポジトリの既定値として使用します。 [ なし ドロップダウン メニューを選択し、[ パブリック]、[ プライベート]、[内部]、[ すべてのリポジトリ] の順にクリックします。

    メモ

    Organization での既定の security configuration は、organization で作成された新しいリポジトリにのみ自動的に適用されます。 リポジトリが組織に転送された場合でも、リポジトリに対し適切な security configuration を手動で適用する必要があります。

    •      **構成を強制します**。 リポジトリ所有者は、構成によって有効または無効になっている機能を変更できなくなります (設定されていない機能は適用されません)。 ドロップダウン メニューから **[Enforce]** を選択します。

  3.        custom security configurationの作成を完了するには、[**構成の保存]** をクリックします。

次のステップ

組織内のリポジトリに custom security configuration を適用するには、 カスタム セキュリティ構成の適用 を参照してください。

custom security configuration の編集方法については、「カスタム セキュリティ構成の編集」を参照してください。