このバージョンの GitHub Enterprise サーバーはこの日付をもって終了となります: 2026-04-09. 重大なセキュリティの問題に対してであっても、パッチリリースは作成されません。 パフォーマンスの向上、セキュリティの向上、新機能の向上を図るために、最新バージョンの GitHub Enterprise サーバーにアップグレードしてください。 アップグレードに関するヘルプについては、GitHub Enterprise サポートにお問い合わせください

セキュリティ機能の導入を評価する

セキュリティで保護されたコーディング用の機能が既に有効になっているチームとリポジトリを確認し、まだ保護されていない機能を特定します。

この機能を使用できるユーザーについて

アクセスには以下が必要です。

  • 組織ビュー: 組織内のリポジトリへの書き込みアクセス
  • エンタープライズ ビュー: 組織の所有者とセキュリティ マネージャー

この記事で

セキュリティの概要を使うと、どのリポジトリやチームが各セキュリティ機能を既に有効にしているか、また、これらの機能の導入をさらに奨励する必要があるリポジトリやチームを確認できます。

メモ

"プル要求アラート" は、リポジトリに対してアラートが有効になってから、 code scanning が少なくとも 1 つのプル要求を分析した場合にのみ有効として報告されます。

Organization のセキュリティ機能の有効化を表示する

Organization 内のリポジトリ全体で安全なコーディングのための機能の有効化を評価するデータを表示できます。

  1. GitHub で、organization のメイン ページに移動します。

  2. 組織名の下の [ Security ] タブをクリックします。

  3. [セキュリティ カバレッジ] ビューを表示するには、サイドバーの [カバレッジ クリックします。

  4. ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理について詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。

    • [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。 詳しくは、「Organization のリポジトリに対するチームのアクセスを管理する」をご覧ください。
    • 機能のヘッダーの [NUMBER enabled] または [NUMBER not enabled] をクリックすると、その機能が有効または無効になっているリポジトリのみが表示されます。
    • リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
    • 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。

  5. 必要に応じて、 [セキュリティ設定 ] をクリックしてリポジトリのセキュリティ機能を有効にし、[ セキュリティ設定の保存 ] をクリックして変更を確認します。 機能が表示されない場合は、より複雑な構成要件があるため、リポジトリ設定ダイアログを使う必要があります。 詳しくは、「リポジトリを保護するためのクイック スタート」をご覧ください。

  6. 必要に応じて、現在の検索に一致するリポジトリの一部またはすべてを選んで、テーブル ヘッダーの [セキュリティ設定] をクリックすると、サイド パネルが表示され、選んだリポジトリのセキュリティ機能を有効にできます。 終わったら、 [変更の適用] をクリックして変更を確定します。 詳しくは、「複数のリポジトリでセキュリティ機能を有効にする」をご覧ください。

メモ

  • code scanning の既定のセットアップを有効にしても、選択されたリポジトリの高度なセットアップの既存の構成は オーバーライドされません が、既定のセットアップの既存の構成は オーバーライドされます
  • secret scanning の "アラート" を有効にすると、信頼度の高いアラートが有効になります。 プロバイダー以外のアラートを有効にする場合は、リポジトリ、組織、またはエンタープライズ設定を編集する必要があります。 アラートの種類の詳細については、サポートされているシークレットに関する記事を参照してください。

リポジトリの一覧の [Dependabot] の下の "Paused" ラベルは、 Dependabot updates が一時停止されているリポジトリを示します。 非アクティブ条件の詳細については、 Dependabot のセキュリティ アップデートGitHub Dependabot のバージョンアップデートについて のセキュリティ更新プログラムとバージョン更新プログラムをそれぞれ参照してください。

Enterprise での安全なコーディング機能の有効化を表示する

Enterprise 内のすべての organization についてセキュリティ機能の有効化を評価するデータを表示できます。

エンタープライズ レベルのビューでは、機能の有効化に関するデータを表示できますが、機能を有効または無効にすることはできません。

  1. GitHub Enterprise Server の右上隅にあるプロフィール画像をクリックしてから、[Enterprise settings] をクリックします。
  2.        ページの左側にあるエンタープライズ アカウントのサイドバーで、[**コード セキュリティの<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg>**] をクリックします。
  3. [セキュリティ カバレッジ] ビューを表示するには、サイドバーの [カバレッジ] をクリックします。
  4. ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理について詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。

    • [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。 詳しくは、「Organization のリポジトリに対するチームのアクセスを管理する」をご覧ください。

    • 機能のヘッダーの [NUMBER enabled] または [NUMBER not enabled] をクリックすると、その機能が有効または無効になっているリポジトリのみが表示されます。

    • リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。

    • 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。

    ヒント

    検索フィールドで owner フィルターを使って、データを organization ごとにフィルター処理できます。 詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。

メモ

[有効化の傾向] ビューは現在 ベータ 中であり、変更される可能性があります。

Organization のセキュリティ機能の有効化状態と有効化状態の傾向を評価するデータを表示できます。

  1. GitHub で、organization のメイン ページに移動します。
  2. 組織名の下の [ Security ] タブをクリックします。
  3. サイドバーの [メトリック] で、[有効化トレンド] をクリックします。
  4. [Dependabot]、[Code scanning]、[Secret scanning] のいずれかのタブをクリックすると、有効化の傾向と、その機能が有効になっている組織内のリポジトリの割合が表示されます。 このデータは、グラフと詳細テーブルとして表示されます。
  5. 必要に応じて、[有効化傾向] ビュー ページの上部にあるオプションを使用して、有効化傾向を表示するリポジトリのグループをフィルター処理します。

    • 日付ピッカーを使用して、有効化傾向を表示する時間範囲を設定します。

    • 検索ボックスをクリックして、表示される有効化傾向にさらにフィルターを追加します。 適用できるフィルターは、[概要] ダッシュボード ビューのフィルターと同じです。 詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。

      フィルターが適用された 30 日間にわたる Dependabot の状態と傾向を示す、Organization の [有効化傾向] ビューのスクリーンショット。

メモ

[有効化の傾向] ビューは現在 ベータ 中であり、変更される可能性があります。

Enterprise 内のすべての organization についてセキュリティ機能の有効化状態と有効化状態の傾向を評価するデータを表示できます。

  1. GitHub Enterprise Server の右上隅にあるプロフィール画像をクリックしてから、[Enterprise settings] をクリックします。
  2.        ページの左側にあるエンタープライズ アカウントのサイドバーで、[**コード セキュリティの<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg>**] をクリックします。
  3. [有効化傾向] ビューを表示するには、サイド バーの [有効化傾向] をクリックします。
  4. [Dependabot]、[Code scanning]、[Secret scanning] のいずれかのタブをクリックすると、有効化の傾向と、その機能が有効になっている企業内の組織全体のリポジトリの割合が表示されます。 このデータは、グラフと詳細テーブルとして表示されます。
  5. 必要に応じて、[有効化傾向] ビュー ページの上部にあるオプションを使用して、有効化傾向を表示するリポジトリのグループをフィルター処理します。

ヒント

検索フィールドで owner: フィルターを使って、データを organization ごとにフィルター処理できます。 詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。

有効化データに基づく処理

有効化の対象範囲を確認したら、次のアクションを検討します。

  1. セキュリティ機能の使用を制限する過度に制限の厳しいポリシーが企業によって構成されているかどうかを確認します。 「エンタープライズのコード セキュリティと分析のためのポリシーの適用」を参照してください。

  2. すべてのリポジトリで有効にする必要がある機能を有効にします。 組織全体の機能を有効にする方法については、「 組織のセキュリティおよび分析設定を管理するを参照してください。

    たとえば、 シークレット スキャンニング アラート とプッシュ保護により、リポジトリに格納されている情報に関係なく、セキュリティ リークのリスクが軽減されます。 これらの機能をまだ使っていないリポジトリを見つけた場合は、それらを有効にするか、リポジトリを所有するチームと有効化の計画について話し合うことをお勧めします。

  3. その他の機能については、その機能をより多くのリポジトリで有効にする必要があるかどうかを検討してください。 たとえば、サポートされていないエコシステムまたは言語のみを使用するリポジトリに対して Dependabot を有効にしても意味がありません。 そのため、これらの機能が有効ではないリポジトリがあるのは通常のことです。

次のステップ

"有効化の傾向" ビューを使用すると、リポジトリまたは組織全体の Dependabot、 code scanning、または secret scanning の有効化状態と有効化状態の傾向を確認できます。 「組織の有効化傾向の表示」または「企業の有効化傾向の表示」を参照してください。