GitHub Advanced Security for Azure DevOps は、詳細なアクセス許可制御を備えた包括的なセキュリティ スキャン機能を提供します。 この記事では、セキュリティ アラートのアクセス許可の構成、アクセス レベルの管理、高度なセキュリティ API のセキュリティで保護された認証の設定について説明します。
GitHub Advanced Security for Azure DevOps は、Azure Repos と連携して動作します。 GitHub リポジトリで GitHub Advanced Security を使用するには、GitHub Advanced Security をご覧ください。
[前提条件]
| カテゴリ | 要求事項 |
|---|---|
| アクセス許可 | - リポジトリのすべてのアラートの概要を表示するには、リポジトリに対する「コントリビューター」権限が必要です。 - Advanced Security でアラートを解除するには、プロジェクト管理者の権限が必要です。 - Advanced Security でアクセス許可を管理するには、プロジェクト コレクション管理者グループのメンバーであること、またはAdvanced Security: 設定の管理のアクセス許可が許可に設定されている必要があります。 |
高度なセキュリティの権限の詳細については、「高度なセキュリティ権限の管理」を参照してください。
権限定義
Advanced Security には、セキュリティ機能へのアクセスを制御する 3 つの特殊なアクセス許可が導入されています。
| 権限 | 説明 | 活用事例 |
|---|---|---|
| 高度なセキュリティ: アラートの読み取り | セキュリティ アラート、脆弱性、スキャン結果を表示する | セキュリティ アナリスト、コードを確認する開発者 |
| 高度なセキュリティ: アラートを管理および無視する | 誤検知を無視し、アラートのライフサイクルを管理する | セキュリティ エンジニア、リード デベロッパー |
| 高度なセキュリティ: 設定を管理する | セキュリティ強化機能の有効化/無効化 (課金対象アクション) | プロジェクト管理者、セキュリティ マネージャー |
既定のアクセス許可の割り当て
| Azure DevOps グループ | 既定のアクセス許可 |
|---|---|
| 寄稿者 | 高度なセキュリティ: アラートの読み取り |
| プロジェクト管理者 | 高度なセキュリティ: アラートの読み取り、管理、および無視 |
| プロジェクト コレクション管理者 | 高度なセキュリティ: アラートの読み取り、アラートの管理と無視、設定の管理 |
注
[設定の管理] アクセス許可を持つユーザーのみが高度なセキュリティ機能を有効にでき、課金が発生する可能性があります。 このアクセス許可を付与するときは注意が必要です。
Advanced Security のアクセス許可を管理する
セキュリティ要件を満たすように、特定のリポジトリの高度なセキュリティアクセス許可をカスタマイズできます。 このアクションは、チーム メンバーの役割と責任に基づいて異なるアクセス レベルをチーム メンバーに付与する必要がある場合に役立ちます。
アクセス許可のカスタマイズの一般的なシナリオ:
- セキュリティ チーム アクセス: セキュリティ アナリストに完全なアクセス許可を付与する
- 開発者アクセス: 開発チームに読み取り専用アクセスを提供する
- コンプライアンス要件: 承認された担当者に設定管理を制限する
リポジトリ固有のアクセス許可を構成する
アクセス許可のドロップダウンが無効になっている場合は、セキュリティ設定を管理するために必要なアクセス許可についてプロジェクト管理者に問い合わせてください。
特定のリポジトリのアクセス許可を調整するには:
プロジェクト 設定>Repositories を選択します。
アクセス許可を調整する特定のリポジトリを選択します。
[セキュリティ] を選択します。
アクセス許可を調整するセキュリティ グループを選択します。
アクセス許可を変更します。 成功すると、選択したアクセス許可の横にチェックマークが表示されます。
高度なセキュリティ API の認証
Microsoft Entra ID トークンを使用する (推奨)
Microsoft Entra ID トークンは、 Azure DevOps API の GitHub Advanced Security にアクセスするための推奨される認証方法です。 OAuth 2.0 標準を使用してセキュリティを強化し、エンタープライズ ID システムとのシームレスな統合を実現します。
Microsoft Entra ID 認証の利点:
- セキュリティ強化: OAuth 2.0 の自動トークン更新への準拠
- エンタープライズ統合: 条件付きアクセス ポリシーと多要素認証のネイティブ サポート
- 監査とコンプライアンス: セキュリティ操作の追跡とログ記録の向上
- 最小限の特権アクセス: 組織のセキュリティ ポリシーに合わせたきめ細かいスコープ制御
実装の詳細なガイダンスについては、 Azure DevOps の Microsoft Entra 認証に関するページを参照してください。
個人用アクセス トークンを使用する
Von Bedeutung
リスクの高い個人用アクセス トークンよりも安全な Microsoft Entra トークンをお勧めします。 PAT 使用量の削減に向けた取り組みの詳細をご覧ください。 認証ガイダンスを確認して、ニーズに適した認証メカニズムを選択してください。
個人用アクセス トークンを使用して、Advanced Security API を使用できます。 詳細については、「個人用アクセス トークンの使用」を参照してください。
Advanced Security には、PAT の 3 つの追加スコープ (read、read and write、および read, write, and manage) が用意されています。