クローズドされたセキュリティアラートに関する今後のクラウドデータ保持ポリシー
GitHub は 2026 年 8 月より、クローズされた Dependabot セキュリティアラートについて、閉鎖から 2 年以上経過したデータをアーカイブストレージへ移行する新しいデータ保持ポリシーを導入すると発表した。
キーポイント
データ保持期間の明確化とアーカイブ化
クローズされたアラートは閉鎖から 2 年間 UI および API で完全アクセス可能だが、それ以降はアーカイブストレージへ移動し、通常表示されなくなる。
対象範囲と適用除外
本ポリシーは GitHub.com および GitHub Enterprise Cloud (GHEC) の Dependabot アラートに適用されるが、GitHub Enterprise Server (GHES) には適用されない。
アーカイブデータのアクセスとコンプライアンス
アーカイブ化されたデータはアカウント存続期間中完全な忠実度で保持され、管理者は CSV ダウンロードを通じてレギュラトリー要件への対応が可能となる。
移行スケジュールと開発者への対応
2026 年 8 月 25 日より順次導入され、それ以前は API クエリで過去 2 年以上のアラートを取得する必要があるため、アーカイブ利用の準備が求められる。
影響分析・編集コメントを表示
影響分析
この変更により、開発チームは長期的なセキュリティ監査やコンプライアンス対応のために、アーカイブデータの取得プロセスを事前に再構築する必要がある。また、API クエリに依存していた自動化スクリプトのメンテナンスコストが増加し、データ管理戦略の見直しが迫られることになる。
編集コメント
長期的なセキュリティ記録の維持が必要な組織にとって、アーカイブデータの取得フローを事前に確立しておくことが急務となります。API 依存の自動化ツールは、2026 年までの移行期間内に修正が必要となるでしょう。
2026 年 8 月 25 日より、GitHub はクローズされた Dependabot セキュリティアラートに関するデータ保持ポリシーを導入します。このポリシーにより、アラートデータがどの期間アクセス可能で、どこで確認できるかについて明確なコミットメントを提供します。これは github.com 上の Dependabot セキュリティアラート(GitHub Enterprise Cloud (GHEC) を含む)に適用されますが、GitHub Enterprise Server (GHES) には適用されません。このポリシーは段階的に展開され、まずは Dependabot から開始されます。
GitHub セキュリティアラートデータ保持ポリシー
GitHub は、アカウントの有効期間中、Dependabot アラートをアクセス可能に維持します。
オープン状態のアラートは、その年齢に関わらず、UI および API で完全にアクセス可能です。
クローズされたアラートは、クローズから 2 年間は UI および API で完全にアクセス可能です。
2 年以上前にクローズされたアラートはアーカイブストレージへ移動します。エンタープライズ、組織、およびリポジトリの管理者、ならびにセキュリティマネージャーは、対応するレベルのセキュリティアラートページから CSV 形式でダウンロードできます。
関連するリポジトリ、組織、またはアカウントが削除された場合、またはエンタープライズ契約が終了した場合、アラートデータは削除されます。
GitHub は、アーカイブされたアラートをアカウントの有効期間中、完全な忠実度(fidelity)で保持します。これにより、歴史的な修正記録は規制要件を満たすために利用可能となります。データレジデンシー機能を備えた GitHub Enterprise Cloud を使用している場合でも、このポリシーによってアラートデータの保存場所が変更されることはありません。アーカイブされたアラートは、他のデータと同じリージョンに留まります。
変更点と実施時期
2026 年 8 月 25 日、2 年以上前にクローズされた Dependabot アラートはアーカイブストレージへ移行され、UI や API では表示されなくなります。オープン状態のアラートや過去 2 年以内にクローズされたアラートには影響はありません。Dependabot はこのポリシーを採用する最初のアラートタイプです。各アラートタイプの正確なタイミングはまだ最終調整中で、発効前に少なくとも 60 日前にチャangelog を通じて変更を公告します。8 月 25 日までに REST API を介してクローズされた Dependabot アラートを照会し、ご自身のクエリが 2 年以上前のアラートに依存していないか確認の上、ダウンロード可能なアーカイブの利用を検討してください。
GitHub コミュニティ内でディスカッションに参加してください。
!social
本記事「クローズされたセキュリティアラートの今後のクラウドデータ保持ポリシー(続き 2/2)」は、The GitHub Blog で最初に公開されました。
原文を表示
Starting August 25, 2026, GitHub will introduce a data retention policy for closed Dependabot security alerts. This policy gives you a clear commitment for how long your alert data stays accessible and where you can find it. It applies to Dependabot security alerts on github.com, including GitHub Enterprise Cloud (GHEC). It does not apply to GitHub Enterprise Server (GHES). The policy will roll out gradually across security alert types, beginning with Dependabot.
GitHub security alert data retention policy
GitHub keeps your Dependabot alerts available for the life of your account.
Open alerts stay fully accessible in the UI and API, regardless of age.
Closed alerts stay fully accessible in the UI and API for two years after they are closed.
Alerts closed two or more years ago move to archival storage. Enterprise, organization, and repository administrators and security managers can download them as a CSV from the security alerts page at the corresponding level.
Alert data is removed when the associated repository, organization, or account is deleted, or when an enterprise agreement ends.
GitHub keeps archived alerts at full fidelity for the life of your account, so your historical remediation records stay available to support regulatory requirements. If you use GitHub Enterprise Cloud with data residency, this policy does not change where your alert data is stored. Archived alerts remain in the same region as the rest of your data.
What’s changing and when
On August 25, 2026, closed Dependabot alerts closed two or more years ago will move to archival storage and will no longer appear in the UI or API. Open alerts and alerts closed within the last two years are not affected. Dependabot is the first alert type to adopt this policy. Exact timing for each alert type is still being finalized, and we will announce the changes through the changelog with at least 60 days of advance notice before they take effect. Before August 25, query closed Dependabot alerts through the REST API, review whether any of your queries rely on alerts older than two years, and plan to use the downloadable archive instead.
Join the discussion within GitHub Community.
!social
The post Upcoming cloud data retention policy for closed security alerts appeared first on The GitHub Blog.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み