GitHubの設定
以下の設定方法についてはGitHubのドキュメントなどを参照してください。
Privateリポジトリで開発する
クライアントから特に指示がなければソースコードが第三者に公開されないようにします。
mainブランチを保護する
mainブランチや、慎重に取り扱うべき制作やプロダクトに関わるブランチには、直接マージできないようにします。
マージは、最低でも1人以上の承認があった場合にのみ許可されるようにします。
リポジトリのアクセス権限を管理する
開発に携わるメンバーのみがリポジトリにアクセスできるようにします。Write以上の権限でソースコードを作成・書き換え可能となります。
権限の違いを理解していない、または「指示通りにコードを書く」だけのメンバーはWriteとして参加してもらうようにしてください。
プロジェクトやクライアントの要求などを理解しているメンバーはAdminやMaintainerとして参加してもらって構いません。
Adminは承認不要でmainブランチにマージできる権限を持っています。それがどの様なリスクとなるか、リカバリーがその本人のみでできるかが権限を分ける分水嶺となります。
二要素認証を徹底する
認証方法は時流により変わる可能性があります。 GitHubから画面上で要請されていたり、所属する組織で指示されているルールを守りましょう。
秘匿情報はsecretsを使用する
GitHub ActionsなどでFTPアップや自動デプロイを組み込む際のパスワードやAPIトークンはsecretsから呼び出すようにして隠蔽してください。
セキュリティ設定を確認する
Secret scanningが起動していることを確認します。また以下のオプションを有効化しておきましょう。
- Dependency graph
- Dependabot alerts
- Dependabot security updates
ワークフロー(GitHub Actions)を使用する場合はワークフローに関するセキュリティ設定も確認しましょう。