デフォルトでは、すべてのパブリックリポジトリでシークレットスキャンが自動的に有効になります。プライベートリポジトリまたは内部リポジトリの場合は、組織レベルまたはエンタープライズレベルで設定されていない限り、シークレットスキャンを手動で有効にする必要があります。
このデフォルトの動作により、追加の構成を必要とせずにオープンソース プロジェクトを保護できます。

Dependabot アラートは、標準化された識別子を使用して脆弱性を説明します。
CVE (Common Vulnerabilities and Exposures): 公に知られているサイバーセキュリティの脆弱性に対する広く認知された識別子。
CWE (Common Weakness Enumeration): ソフトウェアの弱点と脆弱性のカテゴリ システム。
これらの識別子は、開発者が脆弱性の性質を理解し、詳細な情報や修復戦略の検索を容易にするのに役立ちます。

デフォルトでは、書き込み、メンテナンス、または管理者権限を持つユーザーは、Dependabotの新しいアラートに関する通知を受け取ります。ただし、自動通知を受け取るには、書き込み権限が最低限必要です。読み取り権限のみを持つユーザーは、明示的に追加されない限り、アラートを受け取りません。

追加のクエリ パックを含めるか、個々のクエリを指定することにより、CodeQL スキャンをカスタマイズできます。
パック: これらは、単一のパッケージにバンドルされた CodeQL クエリの再利用可能なコレクションです。
クエリ: 分析に含める .ql クエリを含む特定のファイルまたはディレクトリを指定できます。
github/codeql はパックを名前で参照していますが、メソッドやフィールドではありません。スコープは、このコンテキストでは設定に使用できる有効なフィールドではありません。

GitHubは、コードスキャンアラートが生成されたブランチ（通常はプルリクエスト内のコミット）で脆弱性のあるコードが修正されると、自動的にアラートを閉じます。アラートをクリックしたりトリアージしたりするだけではアラートは解決されません。アラートはブランチへのプッシュごとに再評価され、問題がなくなった場合は解決済みとしてマークされます。