セキュリティの調査結果について
security configuration をリポジトリに適用すると、有効になったセキュリティ機能によって、そのリポジトリのセキュリティ指摘事項が提示される可能性が高いです。 これらの指摘事項は、機能固有のアラートとして、またはリポジトリのセキュリティを維持するように設計された自動的に生成された pull request として表示される場合があります。 組織全体の結果を分析し、security configuration に必要な調整を行うことができます。
Organization を最適に保護するには、共同作成者に、セキュリティ アラートと pull request をレビューして解決するよう勧める必要があります。
セキュリティの概要を使用したセキュリティ アラートを含むリポジトリの検索
セキュリティの概要に表示される情報は、リポジトリや組織へのアクセス権、GitHub Advanced Security がそれらのリポジトリと組織によって使用されているかどうかによって異なります。 詳しくは、「セキュリティの概要について」を参照してください。
-
GitHub で、organization のメイン ページに移動します。
-
組織名の下で、 [ セキュリティ] をクリックします。
-
既定では、概要には、すべてのネイティブ GitHub ツール (フィルター:
tool:github
) のアラートが表示されます。 特定のツールのアラートを表示するには、フィルター テキスト ボックスのtool:github
を置き換えます。 次に例を示します。tool:dependabot
は、Dependabot によって識別された依存関係のアラートのみを表示します。tool:secret-scanning
は、secret scanning によって識別されたシークレットのアラートのみを表示します。tool:codeql
は、CodeQL code scanning で識別された潜在的なセキュリティ脆弱性に関するアラートのみを表示します。
-
さらにフィルターを追加すると、評価するリポジトリのみを表示できます。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。
- [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。
- 何らかの機能に対してヘッダーの [<数字> 影響を受ける] または [<数字> 影響を受けない] をクリックすると、その種類の開いているアラートがあるリポジトリ、または開いているアラートがないリポジトリのみが表示されます。
- ヘッダーの [アラートを開く] の説明をクリックすると、その種類とカテゴリのアラートがあるリポジトリのみが表示されます。 たとえば、 [1 クリティカル] の場合、Dependabot のクリティカル アラートがあるリポジトリが表示されます。
- リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
-
必要に応じて、左側のサイドバーを使って、特定のセキュリティ機能のアラートを詳しく調べます。 各ページでは、その機能固有のフィルターを使用して、検索を調整できます。 使用可能な修飾子の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。
secret scanning アラートの解釈
Secret scanning は、リポジトリの Git 履歴全体や、それらのリポジトリ内の問題、pull request、およびディスカッションをスキャンし、誤ってコミットされ漏洩したトークンや秘密キーなどのシークレットに対応するためのセキュリティ ツールです。 組織の secret scanning アラートを表示するには、その組織のメイン ページに移動し、 [セキュリティ] タブをクリックしてから、 [Secret scanning] をクリックします。
secret scanning アラートの概要については、「シークレット スキャン アラートについて」を参照してください。
secret scanning アラートを評価する方法については、「シークレット スキャンからのアラートの評価」を参照してください。
code scanning アラートの解釈
Code scanning は、GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディング エラーを見つけることができる機能です。 分析によって特定された問題は、リポジトリに表示されます。これらの問題は、検出された脆弱性またはエラーに関する詳細情報を含む code scanning アラートとして指摘されます。
組織の code scanning アラートを表示するには、その組織のメイン ページに移動し、 [セキュリティ] タブをクリックしてから、 [Code scanning] をクリックします。
code scanning アラートの概要については、「Code scanningアラートについて」を参照してください。
code scanning アラートを解釈し解決する方法については、「リポジトリのコード スキャンのアラートの評価」と「コード スキャン アラートの解決」を参照してください。
Dependabot alerts の解釈
Dependabot alerts からは、組織のリポジトリで使用している依存関係の脆弱性についての通知があります。 組織の Dependabot alerts を表示するには、その組織のメイン ページに移動し、 [セキュリティ] タブをクリックしてから、 [Dependabot] をクリックします。
Dependabot alerts の概要については、「Dependabot アラートについて」を参照してください。
Dependabot alerts を解釈し解決する方法については、「Dependabot アラートの表示と更新」を参照してください。
注: Dependabot security updates を有効にした場合、Dependabot から、組織のリポジトリで使用されている依存関係を更新するための pull request が自動的に発生する可能性があります。 詳しくは、「Dependabot のセキュリティ アップデート」を参照してください。
次のステップ
GitHub-recommended security configuration を使用していて、セキュリティ有効化設定がニーズを満たしていないことが指摘事項に示されている場合は、custom security configuration を作成する必要があります。 開始するには、「Creating a custom security configuration」を参照してください。
custom security configuration を使用していて、セキュリティ有効化設定がニーズを満たしていないことが指摘事項に示されている場合は、既存の構成を編集できます。 詳しくは、「カスタム セキュリティ構成の編集」を参照してください。
最後に、global settings を使用して Organization レベルのセキュリティの設定を編集することもできます。 詳細については、「組織のグローバル セキュリティ設定の構成」を参照してください。