リポジトリの保護設定をする
リポジトリを保護するための最初の手順は、コードを表示および変更できるユーザを設定することです。 詳しい情報については、「リポジトリ設定を管理する」を参照してください。
リポジトリを保護する
GitHub には、コードを安全に保つために役立つセキュリティ機能が追加されています。 これらは、リポジトリの [セキュリティ] タブにあります。
-
セキュリティポリシー
リポジトリで見つけたセキュリティの脆弱性を内密に報告しやすくします。 詳しい情報については「リポジトリにセキュリティポリシーを追加する」を参照してください。
-
セキュリティアドバイザリ
リポジトリのコードのセキュリティの脆弱性について、非公開で議論して修正します。 その後、セキュリティアドバイザリを公開して、コミュニティに脆弱性を警告し、アップグレードするように促すことができます。 詳しい情報については「GitHub Security Advisoriesについて」を参照してください。
-
Dependabot アラート
セキュリティの脆弱性を含むことを把握している依存関係に関するアラートを表示し、プルリクエストを自動的に生成してこれらの依存関係を更新するかどうかを選択します。 詳しい情報については、「リポジトリ内の脆弱な依存関係を表示・更新する」および「GitHub Dependabotセキュリティアップデート を設定する」を参照してください。
-
Code scanning アラート
新しいコードまたは変更されたコードのセキュリティの脆弱性とコーディングエラーを自動的に検出します。 潜在的な問題が強調表示され、あわせて詳細情報も確認できるため、デフォルトのブランチにマージする前にコードを修正できます。 詳しい情報については、「コードスキャニングについて」を参照してください。
-
検出されたシークレット
GitHub がコードで検出したシークレットが表示されます。 リポジトリにチェックインされたトークンまたは資格情報は、侵害されたものとして扱う必要があります。 詳しい情報については、「シークレットスキャニングについて」を参照してください。
依存関係を調べる
GitHub の依存関係グラフを使用すると、次の情報を調べることができます。
- リポジトリが依存しているエコシステムとパッケージ
- リポジトリに依存しているリポジトリとパッケージ
GitHub がセキュリティの脆弱性のある依存関係に対して Dependabot アラートを生成する前に、依存関係グラフを有効にする必要があります。
依存関係グラフは、リポジトリの [Insights] タブにあります。 詳しい情報については、「依存関係グラフについて」を参照してください。