GitHub Advanced Security について
GitHubには、コードの質を改善し維持できる多くの機能があります。 これらの一部は、依存関係グラフや Dependabot alertsなど、すべてのプランに含まれています。 それ以外のセキュリティ機能には、GitHub.com のパブリック リポジトリとは別のリポジトリで GitHub Advanced Security ライセンスを実行する必要があります。
GitHub Advanced Security のライセンスを購入するには、GitHub Enterprise を使用している必要があります。 GitHub Advanced Security を使用した GitHub Enterprise へのアップグレードの詳細については、「GitHub の製品」および「GitHub Advanced Security の課金について」を参照してください。
Advanced Security機能について
GitHub Advanced Securityのライセンスでは、以下の機能が追加されます。
-
**** - コードで、潜在的なセキュリティの脆弱性とコーディング エラーを検索します。 詳細については、「code scanning について」を参照してください。
-
Secret scanning - プライベート リポジトリ にチェックインしている、キーやトークンなど、シークレットを検出します。 ユーザーに対するシークレット スキャン アラート と パートナーに対するシークレット スキャン アラート は GitHub.com のパブリック リポジトリで無料で利用できます。詳細については、「secret scanningについて」を参照してください。
-
依存関係の確認 プル要求をマージする前に、依存関係に対する変更の影響をすべて示し、脆弱なバージョンの詳細を表示します。 詳細については、「依存関係レビューについて」を参照してください。
次の表は、パブリックおよびプライベート リポジトリに対する GitHub Advanced Security 機能の可用性をまとめたものです。
| パブリック リポジトリ | Advanced Security を使用しないプライベート リポジトリ | Advanced Security を使用するプライベート リポジトリ | |
|---|---|---|---|
| コード スキャン | はい | いいえ | はい |
| シークレット スキャン | はい | いいえ | はい |
| 依存関係の確認 | はい | いいえ | はい |
開発中の Advanced Security 機能の詳細については、「GitHub パブリック ロードマップ」を参照してください。 すべてのセキュリティ機能の概要については、「GitHub セキュリティ機能」を参照してください。
GitHub Advanced Security 機能は、GitHub.com のすべてのパブリック リポジトリで有効になります。 GitHub Enterprise Cloud と Advanced Security を使用する組織では、プライベートおよび内部リポジトリ用のこれらの機能を追加で有効にすることができます。 詳しくは、GitHub Enterprise Cloud のドキュメントをご覧ください。
Advanced Security のスターター ワークフローについて
注: Advanced Security のスターター ワークフローは、リポジトリの [アクション] タブの [セキュリティ] カテゴリに統合されています。 この新しい構成は現在ベータ版であり、変更される可能性があります。
スターター ワークフローの詳細については、「リポジトリの code scanning の構成」と「スターター ワークフローの使用」を参照してください。