Skip to main content

コード セキュリティ リスクの評価

セキュリティの概要を使って、セキュリティ アラートの影響を受けるチームとリポジトリを確認し、緊急の修復アクションが必要なリポジトリを特定することができます。

この機能を使用できるユーザーについて

アクセスには以下が必要です。

  • 組織ビュー: 組織内のリポジトリへの書き込みアクセス
  • エンタープライズ ビュー: 組織の所有者とセキュリティ マネージャー

コード内のセキュリティ リスクの調査

[セキュリティ] タブのさまざまなビューを使用して、コード内のセキュリティ リスクを調べることができます。

  • 概要: セキュリティ アラートの検出修復防止の傾向を調べるのに使用します。
  • リスク: すべてのアラートの種類にわたって、リポジトリの現在の状態を調べるのに使用します。
  • アラート ビュー: code scanning、Dependabot、または secret scanning アラートを詳しく調べるのに使用します。

これらのビューには、以下を行うためのデータとフィルターが用意されています。

  • すべてのリポジトリでコード セキュリティのランドスケープを評価
  • 対処する最も影響の大きい脆弱性を特定
  • 潜在的な脆弱性に対する修復の進行状況を監視
  • 詳細な分析とレポートのために、現在選択されているデータをエクスポートします。

概要について詳しくは、「セキュリティの分析情報の表示」を参照してください。

組織レベルのコード セキュリティ リスクの表示

  1. GitHub で、organization のメイン ページに移動します。

  2. 組織名の下で、 [ セキュリティ] をクリックします。

    組織の水平ナビゲーション バーのスクリーンショット。 盾のアイコンと [セキュリティ] というラベルのタブが、濃いオレンジ色の枠線で囲まれています。

  3. [セキュリティ リスク] ビューを表示するには、サイド バーで [ リスク] をクリックします。

  4. ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。

    • [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。
    • 何らかの機能に対してヘッダーの [<数字> 影響を受ける] または [<数字> 影響を受けない] をクリックすると、その種類の開いているアラートがあるリポジトリ、または開いているアラートがないリポジトリのみが表示されます。
    • ヘッダーの [アラートを開く] の説明をクリックすると、その種類とカテゴリのアラートがあるリポジトリのみが表示されます。 たとえば、 [1 クリティカル] の場合、Dependabot のクリティカル アラートがあるリポジトリが表示されます。
    • リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
    • 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。

    Organization の [セキュリティ リスク] ビューのスクリーンショット。 フィルター処理のオプションが、濃いオレンジ色の枠線で囲まれています。

    Note

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  5. 必要に応じて、左側のサイドバーを使って、特定のセキュリティ機能のアラートを詳しく調べます。 各ページでは、その機能固有のフィルターを使用して、検索を調整できます。 使用可能な修飾子の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。

  6. 必要に応じて CSV をエクスポート ボタンを使って現在のページに表示されているデータを CSV ファイルとしてダウンロードし、セキュリティ調査や詳細なデータ分析を行います。 詳しくは、「セキュリティの概要からのデータをエクスポート」を参照してください。

Note

概要ビュー ([概要]、[カバレッジ] および [リスク]) には、デフォルトのアラートのデータのみが表示されます。 サード パーティ製ツールからの Secret scanning アラート、プロバイダー以外のアラートは、すべてこれらのビューから省略されます。 そのため、個々のアラート ビューには、開いているアラートと閉じられたアラートの数が多い場合があります。

エンタープライズレベルのコード セキュリティ リスクの表示

エンタープライズ内のすべての組織のセキュリティ アラートのデータを表示できます。

Tip

検索フィールドで owner フィルターを使って、データを organization ごとにフィルター処理できます。 マネージド ユーザーを含む Enterprise の所有者である場合は、owner-type フィルターを使用して、データをリポジトリ所有者の種類ごとにフィルター処理し、organization 所有のリポジトリまたはユーザー所有のリポジトリのデータを表示できます。 詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。

  1. GitHub Enterprise Cloud に移動します。

  2. GitHub の右上の自分のプロフィール写真をクリックし、[自分の Enterprise] をクリックします。

  3. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。1. ページの左側にある Enterprise アカウント サイドバーで、 コード セキュリティ をクリックします。

  4. [セキュリティ リスク] ビューを表示するには、サイド バーで [ リスク] をクリックします。

  5. ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。

    • [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。
    • 何らかの機能に対してヘッダーの [<数字> 影響を受ける] または [<数字> 影響を受けない] をクリックすると、その種類の開いているアラートがあるリポジトリ、または開いているアラートがないリポジトリのみが表示されます。
    • ヘッダーの [アラートを開く] の説明をクリックすると、その種類とカテゴリのアラートがあるリポジトリのみが表示されます。 たとえば、 [1 クリティカル] の場合、Dependabot のクリティカル アラートがあるリポジトリが表示されます。
    • リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
    • 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。

    エンタープライズの [セキュリティ リスク] ビューのスクリーンショット。 フィルター処理のオプションが、濃いオレンジ色の枠線で囲まれています。

    Note

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  6. 必要に応じて、左側のサイドバーを使って、特定のセキュリティ機能のアラートを詳しく調べます。 各ページでは、その機能固有のフィルターを使用して、検索を調整できます。 使用可能な修飾子の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。

Note

概要ビュー ([概要]、[カバレッジ] および [リスク]) には、デフォルトのアラートのデータのみが表示されます。 サード パーティ製ツールからの Secret scanning アラート、プロバイダー以外のアラートは、すべてこれらのビューから省略されます。 そのため、個々のアラート ビューには、開いているアラートと閉じられたアラートの数が多い場合があります。