一言で
GitHub Advanced Security (GHAS) は、GitHub のセキュリティ機能をまとめた有料アドオン。Code scanning と Secret scanning を private repo でも有効化するためのライセンスだった。
2025 年 4 月 に GitHub Secret Protection と GitHub Code Security の 2 つに分割され、欲しい機能だけを選んで購入できるようになった。
🌐 Public repo はすべて引き続き無料。GHAS / Secret Protection / Code Security のライセンスが必要になるのは private / internal repo で機能を有効化したい場合だけ。 🤖 Dependabot 本体 (alerts / security updates / version updates / dependency graph) は どのプランでも完全無料・GHAS 不要。詳細は Dependabot ↗。
何が入っている?
| 製品 | 主な機能 | 詳細エントリー |
|---|---|---|
| 🔑 Secret Protection | Secret scanning · Push protection (org/repo lvl) · Custom patterns · AI detection · Validity checks | Secret Scanning ↗ |
| 🔍 Code Security | Code scanning (CodeQL) · Copilot Autofix · Security campaigns · Dependency review (PR enforcement) · Security overview | Code Scanning ↗ |
料金 (2025 年 4 月以降)
| 製品 | 価格 | 課金単位 |
|---|---|---|
| 🔑 GitHub Secret Protection | $19 / 月 | active committer |
| 🔍 GitHub Code Security | $30 / 月 | active committer |
| 📦 両方セット | $49 / 月 | active committer |
- 👥 active committer = 過去 90 日間に、機能が ON になっているリポジトリへ push したユニークなコミッター。同じ人は何リポジトリに push しても 1 人とカウント
- 💳 従量課金 (metered) モデル。月初にライセンス本数を予約する必要はなく、実際に push した人数だけ請求される
- 🏷️ GitHub Team プラン からも購入可能 (以前は Enterprise 限定だった)
- 🆓 Public repo は完全無料。Open source プロジェクトはライセンス不要
💡 Secret scanning だけ欲しいなら Secret Protection 単体 ($19) で OK。CodeQL も使いたくなったら Code Security ($30) を追加、という段階的な購入ができるのが分割後の利点。
ライセンスを考えるときの順番
- 🌐 Public repo だけなら何もしなくていい — すべて無料で使える
- 🆓 Private repo でもまず無料機能を ON — Dependabot (alerts / updates) ・ ユーザーレベルの push protection ・ Secret Risk Assessment (1 回限りの棚卸し)
- 🔑 シークレット漏洩を組織レベルで強制したい → Secret Protection を購入
- 🔍 コード脆弱性 (CodeQL) や Autofix まで欲しい → Code Security を追加
🎯 まずは Risk Assessment (下記) で「うちの組織にどれだけ secret や脆弱性が眠っているか」を可視化してから、Secret Protection / Code Security の費用対効果を判断するのが定石。
購入前の棚卸し — Risk Assessments
GitHub には ライセンス不要・完全無料 で組織のセキュリティ姿勢を可視化できる 2 つの Risk Assessment が用意されている。
どちらも Org → Security → Assessments から 1 クリックで実行でき、結果を見てから Secret Protection / Code Security の購入を判断できる。
| 棚卸し | 何を見る? | 対象 | 頻度 | 詳細 |
|---|---|---|---|---|
| 🔑 Secret Risk Assessment | Org 内のリポに眠る secret の種類・件数 | すべての repo(public / private / internal / archived) | 1 回限り | Secret Scanning ↗ |
| 🔍 Code Security Risk Assessment | コード脆弱性を CodeQL で検出 (severity / 言語 / Autofix 可能件数) | 最もアクティブな最大 20 repo | 90 日に 1 回 | Code Scanning ↗ |
- 🆓 完全無料 — どちらも GHAS / Secret Protection / Code Security のライセンス不要
- 🛂 権限 — Organization owner または security manager のみ実行可能
- 📊 出力 — 集計レポート (個別 secret の値やコードはサーバーに保存されない)
- 🏷️ 対象プラン — GitHub Team および GitHub Enterprise Cloud (Server は 3.22 で対応予定)
- ⚙️ Actions 分 — Code Security Risk Assessment は専用の Actions 実行枠を消費しない
💡 「予算稟議のために数字が欲しい」「導入前に効果を見たい」というケースで真っ先に使う。両方を同じ日に走らせれば 1 日で組織全体のセキュリティ姿勢が可視化できる。
📘 Risk Assessment 関連:
- Enabling Secret Risk Assessment ↗
- Code security risk assessment(GitHub Docs)↗
- Code Security Risk Assessment GA(2026/04)↗
📘 GHAS 全般: