GitHub Advanced Security へのアクセスを管理する
前のユニットでは、エンタープライズプランに従って GitHub Advanced Security を有効にする方法を学習しました。
このユニットでは、プロジェクトの GitHub Advanced Security を構成する方法について説明します。 セキュリティ アラートへのアクセスを管理し、組織およびリポジトリ レベルでセキュリティ ポリシーを設定する方法について説明します。
セキュリティ アラートへのアクセスを管理する
プロジェクトに GitHub Advanced Security を設定する場合は、組織内の適切なユーザーがアラートを表示して解決できることを確認する必要があります。 これらのアラートを表示するために必要なロールとアクセス許可は、アラートの種類によって異なります。
次の表は、リポジトリの [セキュリティ ] タブで各種類のアラートを表示するために必要な最小限のロールとアクセス許可を示しています。
| セキュリティ アラートの種類 | 必要なロールとアクセス許可 |
|---|---|
| コード スキャンのアラート | リポジトリに対する書き込み権限 |
| シークレット スキャンニング アラート | リポジトリ管理者と組織の所有者 |
| Dependabot アラート | リポジトリ管理者と組織の所有者 |
さらに、リポジトリ管理者と組織の所有者は、リポジトリの セキュリティと分析 の設定から、リポジトリに対する書き込みアクセス許可を持つユーザーとチームにシークレット スキャンと Dependabot アラート アクセス権を付与できます。
ロールとアクセス許可の適切なセットを使用すると、セキュリティ ワークフローに関係する開発者は次のアクションを実行できます。
- コード スキャン アラートの場合: コードの修正をコミットするか、アクションを必要としないアラートを無視するか、アラートを削除してコード スキャンの結果をクリーンアップします。
- シークレット スキャン アラートの場合: 検出されたシークレットを削除し、新しいトークンを作成し、検出されたシークレットを使用するコードを更新するか、アクションを必要としないアラートを無視します。
- Dependabot アラートの場合: 脆弱な依存関係を更新するか、アクションを必要としないアラートを無視します。
組織レベルでセキュリティ ポリシーを設定する
組織内のすべてのユーザーが GitHub Advanced Security を使用していることを確認する良い方法は、組織レベルでセキュリティ ポリシーを設定することです。 たとえば、組織内のすべてのリポジトリ管理者がリポジトリの Advanced Security の機能を有効にできるようにするポリシーを設定できます。
ポリシーは、エンタープライズ アカウントが所有するすべての組織、または選択した個々の組織に対して構成できます。
組織レベルでセキュリティ ポリシーを設定するには、次の手順に従います。
エンタープライズ サイドバーで、[ ポリシー] > [セキュリティの強化] に移動します。
GitHub Advanced Security で、ドロップダウン メニューを選択し、企業が所有する組織のポリシーを選択します。
![[セキュリティ ポリシー] ドロップダウンのスクリーンショット。](../../github/github-administration-github-advanced-security/media/security-policy-org.png)
必要に応じて、組織の右側にある [選択した組織に対して許可 ] を選択した場合は、ドロップダウン メニューを選択して、組織の Advanced Security を許可または禁止します。 組織の Advanced Security を禁止すると、リポジトリ管理者は他のリポジトリの Advanced Security 機能を有効にできなくなりますが、機能が既に有効になっているリポジトリの機能は無効になりません。
注
GitHub では、組織レベルでポリシーを設定する際に、コミット者単位で Advanced Security の料金が請求されることに注意してください。
リポジトリ レベルでセキュリティ ポリシーを設定する
GitHub プロジェクトを設定する場合も同様に重要なのは、プロジェクトのセキュリティの脆弱性を報告する方法を文書化することです。 これを行うには、プロジェクト リポジトリのルート フォルダー、SECURITY.md フォルダー、またはdocs フォルダーに.github ファイルを追加できます。 その後、誰かがリポジトリに問題を作成すると、プロジェクトのセキュリティ ポリシーへのリンクが表示されます。
誰かがプロジェクトのセキュリティの脆弱性を報告したら、GitHub セキュリティ アドバイザリを使用して、脆弱性に関する情報を開示、修正、公開できます。
リポジトリ レベルでセキュリティ ポリシーを設定するには、次の手順に従います。
- リポジトリで、 セキュリティ > セキュリティ ポリシーに移動します。
- [ セットアップの開始] を選択します。
- 新しい
SECURITY.mdファイルで、サポートされているプロジェクトのバージョンに関する情報と、脆弱性を報告する方法を追加します。 - 変更をリポジトリにコミットします。