{"meta":{"title":"GitHubセキュリティ機能","intro":"GitHubのセキュリティ機能の概要。","product":"セキュリティとコードの品質","breadcrumbs":[{"href":"/ja/code-security","title":"セキュリティとコードの品質"},{"href":"/ja/code-security/getting-started","title":"はじめに"},{"href":"/ja/code-security/getting-started/github-security-features","title":"GitHubセキュリティ機能"}],"documentType":"article"},"body":"# GitHubセキュリティ機能\n\nGitHubのセキュリティ機能の概要。\n\n## GitHubのセキュリティ機能について\n\nGitHubのセキュリティ機能は、リポジトリや組織全体でコードと機密情報を安全に保つのに役立ちます。\n\n* 一部の機能は、すべての GitHub プランで利用できます。\n* 組織はGitHub TeamおよびGitHub Enterprise CloudでGitHub Advanced Security製品を購入すると、追加機能を利用できます。\n  * [GitHub Secret Protection](#available-with-github-secret-protection)\n  * [GitHub Code Security](#available-with-github-code-security)\n* さらに、パブリック リポジトリで多数の GitHub Secret Protection および GitHub Code Security 機能を無料で実行できます。\n\n## すべての GitHub プランで利用可能\n\n使用している GitHub プランに関係なく、次のセキュリティ機能を使用できます。 これらの機能を使用するために GitHub Secret Protection or GitHub Code Security を購入する必要はありません。\n\nこれらの機能のほとんどは、パブリック、 、およびプライベート リポジトリで使用できます。\n一部の機能は、パブリック リポジトリで \"のみ\" 使用できます。\\_\\_\n\n### セキュリティ ポリシー\n\nリポジトリで見つけたセキュリティの脆弱性を、ユーザが内密に報告しやすくします。 詳しくは、「[リポジトリへのセキュリティ ポリシーの追加](/ja/code-security/how-tos/report-and-fix-vulnerabilities/configure-vulnerability-reporting/add-security-policy)」をご覧ください。\n\n### 依存関係グラフ\n\n依存関係グラフを使うと、自分のリポジトリが依存しているエコシステムやパッケージ、そして自分のリポジトリに依存しているリポジトリやパッケージを調べることができます。\n\n依存関係グラフは、リポジトリの **\\[分析情報]** タブにあります。 詳しくは、「[依存関係グラフ](/ja/code-security/concepts/supply-chain-security/dependency-graph)」をご覧ください。\n\n### ソフトウェア部品表 (SBOM)\n\nリポジトリの依存関係グラフを、SPDX と互換性のあるソフトウェア部品表 (SBOM) としてエクスポートできます。 詳しくは、「[リポジトリのソフトウェア部品表のエクスポート](/ja/code-security/how-tos/secure-your-supply-chain/establish-provenance-and-integrity/export-dependencies-as-sbom)」をご覧ください。\n\n### GitHub Advisory Database\n\nGitHub Advisory Databaseには、表示、検索、およびフィルター処理できるセキュリティの脆弱性の一覧が含まれています。 詳しくは、「[GitHub Advisory Database でのセキュリティ アドバイザリの参照](/ja/code-security/how-tos/report-and-fix-vulnerabilities/fix-reported-vulnerabilities/browse-advisory-database)」をご覧ください。\n\n### Dependabot alerts およびセキュリティ更新\n\nセキュリティの脆弱性を含むことを把握している依存関係に関するアラートを表示し、プルリクエストを自動的に生成してこれらの依存関係を更新するかどうかを選択します。 詳細については、「[Dependabot アラート](/ja/code-security/concepts/supply-chain-security/dependabot-alerts)」および「[Dependabot セキュリティ アップデート](/ja/code-security/concepts/supply-chain-security/dependabot-security-updates)」を参照してください。\n\nまた、Dependabot 自動トリアージ ルールによってキュレーションされたデフォルトのGitHubを使用して、大量の誤検知を自動的に除外することもできます。\n\nDependabotによって提供されるさまざまな機能の概要と、使用を開始する方法の手順については、[Dependabot クイックスタート ガイド](/ja/code-security/tutorials/secure-your-dependencies/dependabot-quickstart) を参照してください。\n\n#### Dependabot malware alerts\n\nGitHub.comおよび GitHub Enterprise Server 3.22 以降では、リポジトリ内の悪意のある依存関係に関するアラートを表示できます。 「[Dependabot マルウェア アラート](/ja/code-security/concepts/supply-chain-security/malware-alerts)」を参照してください。\n\n### Dependabot version updates\n\nDependabotを使用して、依存関係を最新の状態に保つために、プルリクエストを自動で作成します。 これは、依存関係の古いバージョンへの露出を減らすのに役立ちます。 新しいバージョンを使用すると、セキュリティの脆弱性が検出された場合に修正プログラムを適用しやすくなります。また、 Dependabot security updates がプル要求を正常に発生させ、脆弱な依存関係をアップグレードすることが容易になります。\nDependabot version updatesをカスタマイズして、リポジトリへの統合を効率化することもできます。 詳しくは、「[Dependabot バージョン アップデート](/ja/code-security/concepts/supply-chain-security/dependabot-version-updates)」をご覧ください。\n\n### セキュリティ アドバイザリ\n\nパブリック リポジトリのコードでのセキュリティの脆弱性を、非公開で検討して修正します。 その後、セキュリティアドバイザリを公開して、コミュニティに脆弱性を警告し、アップグレードするようコミュニティメンバーに促すことができます。 詳しくは、「[リポジトリ セキュリティ アドバイザリ](/ja/code-security/concepts/vulnerability-reporting-and-management/repository-security-advisories)」をご覧ください。\n\n### リポジトリ ルールセット\n\nブランチ間およびタグ間で、一貫したコード標準、セキュリティ、コンプライアンスを適用します。 詳しくは、「[ルールセットについて](/ja/repositories/configuring-branches-and-merges-in-your-repository/managing-rulesets/about-rulesets)」をご覧ください。\n\n### アーティファクト認証証明\n\nビルドするソフトウェアの証明不可能な起源と整合性の保証を作成します。 詳しくは、「[アーティファクトの構成証明を使用してビルドの出所を確立する](/ja/actions/how-tos/secure-your-work/use-artifact-attestations/use-artifact-attestations)」をご覧ください。\n\n> \\[!NOTE]\n> GitHub Free、GitHub Pro、またはGitHub Teamプランを使用している場合、アーティファクトの認証はパブリックリポジトリでのみ使用できます。 プライベートリポジトリまたは内部リポジトリでアーティファクト証明を使用するには、GitHub Enterprise Cloud 計画に加入している必要があります。\n\n### パートナーに対するシークレット スキャンニング アラート\n\nGitHubがパブリック リポジトリまたはパブリック npm パッケージ内の漏洩したシークレットを検出すると、GitHubは、シークレットが侵害される可能性があることを関連するサービス プロバイダーに通知します。 サポートされるシークレットとサービス プロバイダーの詳細については、「[サポートされているシークレット スキャン パターン](/ja/code-security/reference/secret-security/supported-secret-scanning-patterns#supported-provider-patterns)」を参照してください。\n\n### ユーザーのプッシュ保護\n\nユーザーをプッシュ保護することにより、リポジトリ自体に機能が有効かどうかに関係なく、シークレットが誤ってパブリックリポジトリにコミットされるのを自動的に防ぎます secret scanning 。 ユーザーのプッシュ保護は既定でオンになっていますが、個人用アカウント設定でいつでも機能を無効にすることができます。 詳しくは、「[ユーザーのプッシュ保護の管理](/ja/code-security/how-tos/secure-your-secrets/prevent-future-leaks/manage-user-push-protection)」をご覧ください。\n\n## GitHub Secret Protection で使用可能\n\nGitHub TeamおよびGitHub Enterprise Cloudのアカウントの場合は、**GitHub Secret Protection** を購入するときに追加のセキュリティ機能にアクセスできます。\n\nGitHub Secret Protection には、資格情報の漏洩とシークレットのスプロールの検出と防止に役立つ機能 (ハードコーディングされた資格情報を検出するための secret scanning 、リポジトリに到達する前にブロックするためのプッシュ保護など) が含まれています。\n\nこれらの機能は、すべてのリポジトリの種類で使用できます。\nこれらの機能の一部は、パブリック リポジトリで無料で利用できます。つまり、パブリック リポジトリで機能を有効にするために GitHub Secret Protection を購入する必要はありません。\n\n<!--Hiding information on setting up a trial for now, as there is no available link for fpt yet. Needs versioning for fpt, ghec and ghes.\nFor information about how you can try GitHub Secret Protection for free, see [AUTOTITLE](/billing/managing-billing-for-your-products/managing-billing-for-github-advanced-security/setting-up-a-trial-of-github-advanced-security).\n-->\n\n### ユーザーのシークレット スキャン アラート\n\nリポジトリにチェックインされたハードコーディングされた資格情報を自動的に検出します。 コード内で検出 GitHub シークレットのアラートは、リポジトリの \\[ **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Security and quality** ] タブで表示できるため、資格情報の漏洩に迅速に対応できます。 詳しくは、「[シークレット スキャン](/ja/code-security/concepts/secret-security/secret-scanning)」をご覧ください。\n\n既定ではパブリック リポジトリで使用できます。\n\n### AI で検出されたシークレット\n\nAI で検出されたシークレットの汎用シークレット検出は、ソース コード内の非構造化シークレット (パスワード) を識別し、アラートを生成する、AI を利用した secret scanning の拡張です。 詳しくは、「[アプリケーション カード: GitHubセキュリティと品質の AI 機能](/ja/code-security/responsible-use/security-and-quality-ai-features)」をご覧ください。\n\n### プッシュ保護\n\nプッシュ保護は、プッシュ プロセス中にハードコーディングされたシークレットについて、コードとリポジトリ共同作成者のコードを事前にスキャンし、資格情報のリークが検出された場合にプッシュをブロックします。 共同作成者がブロックをバイパスすると、アラートが生成されます。 詳しくは、「[プッシュプロテクション](/ja/code-security/concepts/secret-security/push-protection)」をご覧ください。\n\n既定ではパブリック リポジトリで使用できます。\n\n### プッシュ保護の目的で委任されたバイパス\n\nプッシュ保護のための委任バイパスを使用すると、どの個人、役割、チームを管理できるかを制御できます。\n\n* プッシュ保護をバイパスできます\n* プッシュ保護から除外される\n* 他の共同作成者からのバイパス要求をレビューできます\n\n詳しくは、「[プッシュ保護用の委任バイパス](/ja/code-security/concepts/secret-security/delegated-bypass)」をご覧ください。\n\n### カスタムパターン\n\nカスタム パターンを定義して、組織の内部パターンなど、 secret scanningでサポートされている既定のパターンで検出されないシークレットを識別できます。 詳しくは、「[シークレット スキャンのカスタム パターンの定義](/ja/code-security/how-tos/secure-your-secrets/customize-leak-detection/define-custom-patterns)」をご覧ください。\n\n<!--Hiding security overview for earlier GHES versions, so it isn't duplicated below-->\n\n### セキュリティの概要\n\nセキュリティの概要を使用すると、組織の全体的なセキュリティ環境を確認したり、トレンドやその他の分析情報を表示したり、セキュリティ構成を管理したりできます。これにより、組織のセキュリティ状態を簡単に監視し、リスクが最大のリポジトリと組織を特定できます。 詳しくは、「[セキュリティの概要](/ja/code-security/concepts/security-at-scale/security-overview)」をご覧ください。\n\n## GitHub Code Security で使用可能\n\nGitHub TeamおよびGitHub Enterprise Cloudのアカウントの場合は、**GitHub Code Security** を購入するときに追加のセキュリティ機能にアクセスできます。\n\nGitHub Code Security には、 code scanning、Premium Dependabot 機能、依存関係の確認などの脆弱性を見つけて修正するのに役立つ機能が含まれています。\n\nこれらの機能は、すべてのリポジトリの種類で使用できます。\nこれらの機能の一部は、パブリック リポジトリで無料で利用できます。つまり、パブリック リポジトリで機能を有効にするために GitHub Code Security を購入する必要はありません。\n\n<!--Hiding information on setting up a trial for now, as there is no available link for fpt yet. Needs versioning for fpt, ghec & ghes.\n\nFor information about how you can try GitHub Code Security for free, see [AUTOTITLE](/billing/managing-billing-for-your-products/managing-billing-for-github-advanced-security/setting-up-a-trial-of-github-advanced-security).\n\n-->\n\n### Code scanning\n\n新しいコードまたは変更されたコードのセキュリティの脆弱性とコーディングエラーを自動的に検出します。 潜在的な問題が強調表示され、あわせて詳細情報も確認できるため、デフォルトのブランチにマージする前にコードを修正できます。 詳しくは、「[Code scanning](/ja/code-security/concepts/code-scanning/code-scanning)」をご覧ください。\n\n既定ではパブリック リポジトリで使用できます。\n\n### CodeQL CLI\n\nソフトウェア プロジェクトにおいて、CodeQL のプロセスをローカルで実行したり、code scanning にアップロードするための GitHubの結果を生成したりします。 詳しくは、「[CodeQL コマンドラインインターフェース (CLI)](/ja/code-security/concepts/code-scanning/codeql/codeql-cli)」をご覧ください。\n\n既定ではパブリック リポジトリで使用できます。\n\n### Copilot の自動修正\n\ncode scanningアラートの自動的に生成された修正プログラムを取得します。 詳しくは、「[アプリケーション カード: GitHubセキュリティと品質の AI 機能](/ja/code-security/responsible-use/security-and-quality-ai-features)」をご覧ください。\n\n既定ではパブリック リポジトリで使用できます。\n\n### AI を利用したセキュリティ検出\n\nプル要求のレビュー中に実行される AI ベースのスキャン エンジンを使用して、 CodeQL でカバーされていない言語とフレームワークの脆弱性を見つけます。 「[プル要求での AI を利用したセキュリティ検出](/ja/code-security/concepts/code-scanning/ai-powered-security-detections)」を参照してください。\n\n### カスタム自動トリアージ ルール (Dependabot)\n\nDependabot alerts を大規模に管理するのに役立ちます。 カスタム自動トリアージ ルール では、どのアラートを無視したり、スヌーズしたり、Dependabot のセキュリティ更新をトリガーしたりするかを制御できます。 詳細については、「[Dependabot アラート](/ja/code-security/concepts/supply-chain-security/dependabot-alerts)」および「[自動トリアージ ルールをカスタマイズして Dependabot アラートの優先度を設定する](/ja/code-security/how-tos/secure-your-supply-chain/manage-your-dependency-security/auto-triage-dependabot-alerts)」を参照してください。\n\n### 依存関係の確認\n\nPull Requestをマージする前に、依存関係に対する変更の影響を詳細に示し、脆弱なバージョンがあればその詳細を確認できます。 詳しくは、「[依存関係の確認](/ja/code-security/concepts/supply-chain-security/dependency-review)」をご覧ください。\n\n既定ではパブリック リポジトリで使用できます。\n\n### セキュリティ キャンペーン\n\nセキュリティ キャンペーンを作成し、開発者と協力してセキュリティ バックログを減らすことで、セキュリティ アラートを大規模に修正します。 詳しくは、「[セキュリティ キャンペーンについて](/ja/code-security/concepts/security-at-scale/about-security-campaigns)」をご覧ください。\n\n### セキュリティの概要\n\nセキュリティの概要を使用すると、組織の全体的なセキュリティ環境を確認したり、トレンドやその他の分析情報を表示したり、セキュリティ構成を管理したりできます。これにより、組織のセキュリティ状態を簡単に監視し、リスクが最大のリポジトリと組織を特定できます。 詳しくは、「[セキュリティの概要](/ja/code-security/concepts/security-at-scale/security-overview)」をご覧ください。\n\n## 参考資料\n\n* [GitHubのプラン](/ja/get-started/learning-about-github/githubs-plans)\n* [GitHub Advanced Security について](/ja/get-started/learning-about-github/about-github-advanced-security)\n* [GitHub言語のサポート](/ja/get-started/learning-about-github/github-language-support)"}