GitHub推奨、無料の安全設定6つで防御強化
詳細を読む
GitHub Security Labは2026年7月1日、公開ブログでオープンソースの保守担当者向けに、無料で有効化できる6つのセキュリティ設定を紹介しました。いずれも30分未満で完了し、案内フロー「Protect Your Project」で一括設定できると説明しています。完全な防御は不可能としつつ、攻撃されやすい入り口を確実にふさぐ狙いです。
最初の2つは報告経路の整備です。SECURITY.mdファイルは、バグ発見者に報告先を伝えるもので、連絡用メールや対象範囲を数分で記載できます。加えて非公開の脆弱性報告を有効にすれば、研究者が公開せずに機密の勧告を提出でき、公開の場での暴露を防げます。
次に自動検知系の3設定を推奨しています。シークレット走査とプッシュ保護は、鍵やトークンがリポジトリに紛れ込む前に手元で遮断します。Dependabotは依存パッケージの既知脆弱性を通知し、依存レビューはPR内で追加・更新の内容を可視化します。さらにCodeQLによる静的解析は、SQLインジェクションなどの危険なパターンを自動で検出します。
背景には深刻な漏洩の増加があります。GitGuardianの調査では、2025年に公開GitHubで2865万件の新規シークレット漏洩が確認され、前年比34%増と過去最大の伸びを記録しました。AI支援のコミットは基準の約2倍の頻度でシークレットを漏らしているとされ、IBMの報告では情報漏洩の平均コストは世界で444万ドルに達しています。
最後の設定はデフォルトブランチのブランチ保護です。mainへのマージ前にPRと最低1件の承認を必須化することで、認証情報の悪用や不注意な直接プッシュを防ぎます。これは他の5設定を実効化する土台にもなり、Dependabotの警告やコード走査の指摘がマージを止める仕組みへと変わるのです。