GitHubのセキュリティ機能について
GitHubは、リポジトリ内及びOrganizationに渡ってコードとシークレットをセキュアに保つのに役立つ機能があります。 機能の中にはすべてのリポジトリで使えるものもあり、パブリックリポジトリとGitHub Advanced Securityライセンスを持っているリポジトリでのみ使えるものもあります。
GitHub Advisory Databaseには、表示、検索、フィルタできる精選されたセキュリティ脆弱性のリストが含まれます。 詳しい情報については「GitHub Advisory Databaseでのセキュリティ脆弱性を参照する」及び「GitHub Security Advisoriesについて」を参照してください。
すべてのリポジトリで使用可能
セキュリティポリシー
リポジトリで見つけたセキュリティの脆弱性を、ユーザが内密に報告しやすくします。 詳しい情報については「リポジトリにセキュリティポリシーを追加する」を参照してください。
セキュリティアドバイザリ
リポジトリのコードのセキュリティの脆弱性について、非公開で議論して修正します。 その後、セキュリティアドバイザリを公開して、コミュニティに脆弱性を警告し、アップグレードするようコミュニティメンバーに促すことができます。 詳しい情報については「GitHub Security Advisoriesについて」を参照してください。
Dependabotアラート およびセキュリティアップデート
セキュリティの脆弱性を含むことを把握している依存関係に関するアラートを表示し、プルリクエストを自動的に生成してこれらの依存関係を更新するかどうかを選択します。 詳しい情報については、「脆弱性のある依存関係に対するアラートについて」 および「Dependabotセキュリティアップデート について」を参照してください。
Dependabot バージョンアップデート
Dependabotを使って、依存関係を最新に保つためのPull Requestを自動的に発行してください。 これは、依存関係の古いバージョンの公開を減らすために役立ちます。 新しいバージョンを使用すると、セキュリティの脆弱性が発見された場合にパッチの適用が容易になり、さらに脆弱性のある依存関係を更新するため Dependabotセキュリティアップデート がプルリクエストを発行することも容易になります。 詳しい情報については、「Dependabotバージョンアップデート について」を参照してください。
依存関係グラフ
依存関係グラフを使うと、自分のリポジトリが依存しているエコシステムやパッケージ、そして自分のリポジトリに依存しているリポジトリやパッケージを調べることができます。
依存関係グラフは、リポジトリの [Insights] タブにあります。 詳しい情報については、「依存関係グラフについて」を参照してください。
パブリックリポジトリおよびAdvanced Security が有効になっているリポジトリで使用可能
これらの機能は、Advanced Securityのライセンスを持つOrganizationが所有するプライベートリポジトリと、すべてのパブリックリポジトリで利用できます。 詳しい情報については、「GitHub Advanced Security について」を参照してください。
Code scanning アラート
新しいコードまたは変更されたコードのセキュリティの脆弱性とコーディングエラーを自動的に検出します。 潜在的な問題が強調表示され、あわせて詳細情報も確認できるため、デフォルトのブランチにマージする前にコードを修正できます。 詳しい情報については、「コードスキャニングについて」を参照してください。
Secret scanning アラート
プライベートリポジトリで、any secrets that GitHub がコードで見つけたシークレットを表示します。 リポジトリにチェックインされたトークンまたは資格情報は、侵害されたものとして扱う必要があります。 詳しい情報については、「シークレットスキャニングについて」を参照してください。
依存関係のレビュー
Pull Requestをマージする前に、依存関係に対する変更の影響を詳細に示し、脆弱なバージョンがあればその詳細を確認できます。 詳しい情報については「依存関係レビューについて」を参照してください。