Skip to main content

Enterprise Server 3.15 は、現在リリース候補として使用できます。

セキュリティの概要でアラートをフィルター処理する

フィルターを使ってアラートの特定のカテゴリを表示する

この機能を使用できるユーザーについて

アクセスには以下が必要です。

  • 組織ビュー: 組織内のリポジトリへの書き込みアクセス
  • エンタープライズ ビュー: 組織の所有者とセキュリティ マネージャー

セキュリティの概要のフィルター処理について

セキュリティの概要でフィルターを使用すると、アラート リスク レベル、アラートの種類、機能の有効化など、さまざまな要因に基づいてフォーカスを絞り込むことができます。 特定のビューと、Enterprise と Organization のどちらのレベルでデータを表示しているかに応じて、さまざまなフィルターを使用できます。

セキュリティの概要に表示される情報は、リポジトリや組織へのアクセス権、GitHub Advanced Security がそれらのリポジトリと組織によって使用されているかどうかによって異なります。 詳しくは、「セキュリティの概要について」を参照してください。

セキュリティの概要のフィルター ロジック

フィルターを適用し、論理演算子を使用することで、セキュリティの概要に関する特定の条件を満たす結果を表示できます。 既定では、複数の異なるフィルターを適用すると、AND ロジックが使用されます。つまり、適用する_すべて_のフィルターに一致する結果のみ表示されます。 たとえば、フィルター is:public dependabot:enabled を追加すると、公開用_かつ_ Dependabot が有効になっているリポジトリからの結果のみが表示されます。

現在、セキュリティの概要に関するフィルターに適用できる論理演算子は 2 つあります。

  • - 演算子は NOT ロジックを適用し、指定されたフィルターに一致するものを_除く_すべての結果を表示します。 - 演算子を使用するには、フィルターの先頭にそれを追加します。 たとえば、-repo:REPOSITORY-NAME のフィルターを適用すると、REPOSITORY-NAME を_除く_すべてのリポジトリからのデータが表示されます。
  • , 演算子は OR ロジックを適用し、1 つのフィルターに対して指定された値の_いずれか_に一致する結果を表示します。 , 演算子を使用するには、フィルターに記入する各値の間にそれを追加します。 たとえば、is:public,private のフィルターを適用すると、公開用_または_個人用のすべてのリポジトリからのデータが表示されます。 同様に、異なる値で同じフィルターを複数回適用すると、OR ロジックが使用されます。 たとえば、is:public is:private は、is:public,private と同じです。

フィルターのメソッド

すべてのセキュリティ ビューには、フィルターの定義に役立つ機能があります。 これらは、フィルターを設定し、使用可能なオプションを理解するための簡単な方法を提供します。

  • 対話型の検索テキスト ボックス。 検索ボックスをクリックしてキーボードの "Space" キーを押すと、ポップアップ テキスト ボックスにそのビューで使用できるフィルター オプションが表示されます。 キーボードの "Return" キーを押してフィルターを追加する前に、マウスまたはキーボードの方向キーを使用してテキスト ボックス内のオプションを選択できます。 すべてのビューでサポートされます。
  • ドロップダウン セレクターとトグル。 [検索テキスト ボックス] の末尾またはデータ テーブルのヘッダーに表示されます。 表示するデータを選択すると、検索テキスト ボックスに表示されるフィルターが適宜更新されます。 アラート ビューでサポートされます。
  • [高度なフィルター] ダイアログ。 フィルター] ボタンをクリックすると、ドロップダウン リストを使用して、各フィルターの "修飾子"、"演算子"、および "値" を選択できます。 "概要" ビューとメトリック ビューでサポートされます。

リポジトリ名、可視性、および状態フィルター

すべてのビューには、リポジトリ名で結果をフィルター処理する方法が 2 つあります。

  • フリー テキストまたはキーワード検索。 キーワードを含む名前を持つすべてのリポジトリのデータを表示します。 たとえば、"test-repository" リポジトリと "octocat-testing" リポジトリの両方のデータを表示するには、test を検索します。
  • repo修飾子 修飾子の値と完全に一致するリポジトリのデータのみを表示します。 たとえば、"octocat-testing" リポジトリのみのデータを表示するには、repo:octocat-testing を検索します。

リポジトリの可視性 (内部、プライベート、またはパブリック) とアーカイブの状態でフィルター処理することもできます。

修飾子説明ビュー
visibilitypublicprivateinternal であるすべてのリポジトリのデータを表示します。"概要" とメトリック
ispublicprivateinternal であるすべてのリポジトリのデータを表示します。"リスク" と "カバレッジ"
archivedアーカイブされたリポジトリ (true) またはアクティブなリポジトリ (false) のデータのみを表示します。"アラート" ビューを除くすべてのビュー

チームとトピックのフィルター

これらの修飾子は、すべてのビューで使用できます。

修飾子説明
team指定したチームが書き込みアクセス権または管理者アクセス権を持つすべてのリポジトリを表示します。 リポジトリ ロールの詳細については、「Organizationのリポジトリロール」を参照してください。
topic特定のトピックで分類されているすべてのリポジトリのデータを表示します。 リポジトリのトピックについて詳しくは、「トピックでリポジトリを分類する」をご覧ください。

カスタム リポジトリ プロパティ フィルター

注: リポジトリのプロパティは ベータ にあり、変更される可能性があります。

カスタム リポジトリプロパティは、Organization 所有者が Organization 内のリポジトリに追加できるメタデータで、関心のある情報に基づいてリポジトリをグループ化する方法を提供します。 たとえば、コンプライアンス フレームワークやデータ機密性のためのカスタム リポジトリ プロパティを追加できます。 カスタム リポジトリ プロパティの追加の詳細については、「組織内リポジトリのカスタム プロパティの管理」を参照してください。

Organization にカスタム プロパティを追加し、リポジトリの値を設定する場合は、それらのカスタム プロパティを修飾子として使用して "概要" をフィルター処理できます。 これらの修飾子は、Organization レベルと Enterprise レベルの両方のビューで使用できます。

  • props.CUSTOM_PROPERTY_NAME修飾子 修飾子は、props. プレフィックスとそれに続くカスタム プロパティの名前で構成されます。 たとえば、props.data_sensitivity:high には、data_sensitivity プロパティが値 high に設定されているリポジトリの結果が表示されます。 |

リポジトリの所有者名とタイプのフィルター

Enterprise レベルのビューでは、Enterprise 内の 1 つの organization が所有するリポジトリにデータを制限できます。。

修飾子説明ビュー
owner1 つのアカウント所有者が所有するすべてのリポジトリのデータを表示します。ほとんどのビュー
org1 つの Organization が所有するリポジトリのデータを表示します。Dependabot alerts および code scanning アラート

セキュリティ機能の有効化フィルター

[リスク] ビューと [カバレッジ] ビューでは、セキュリティ機能が有効になっている (enabled)、または有効になっていない (not-enabled).リポジトリのデータのみを表示できます。

修飾子説明
code-scanning-alertscode scanning が構成されているリポジトリを表示します。
dependabot-alertsDependabot alerts が有効になっているリポジトリを表示します。
secret-scanning-alertsシークレット スキャンニング アラート が有効になっているリポジトリを表示します。
any-feature少なくとも 1 つのセキュリティ機能が有効になっているリポジトリを表示します。

[カバレッジ] ビューの追加フィルター

修飾子説明
advanced-securityGitHub Advanced Security が有効または無効であるリポジトリのデータを表示します。
code-scanning-default-setupcode scanning が有効になっている、または有効になっていないリポジトリのデータを CodeQL の既定のセットアップを使用して表示します。
code-scanning-pull-request-alertscode scanning が pull request での実行が有効または無効になっているリポジトリのデータを表示します。
dependabot-security-updatesDependabot security updates が有効または無効であるリポジトリのデータを表示します。
secret-scanning-push-protectionsecret scanning のプッシュ保護が有効または無効になっているリポジトリのデータを表示します。

アラート番号フィルター

これらの修飾子は、[セキュリティ リスク] ビューで使用できます。

修飾子説明
code-scanning-alerts特定数の code scanning アラート (=)、特定数より多い (>) または少ない (<) アラートがあるリポジトリのデータを表示します。 例: 100 を超えるアラートがあるリポジトリの場合は code-scanning-alerts:>100 です。
dependabot-alerts特定数の Dependabot alerts(=)、特定数より多い(>) または少ない(<) リポジトリのデータを表示します。 たとえば、 dependabot-alerts:<=10 アラートが 10 個以下のリポジトリの場合。
secret-scanning-alerts特定数の シークレット スキャンニング アラート (=)、特定数より多い (>) または少ない (<) リポジトリのデータを表示します。 たとえば、 secret-scanning-alerts:=10 アラートが 10 個のリポジトリの場合です。

アラートの種類とプロパティ フィルター

アラートの種類 とプロパティで "概要" ビューをフィルター処理できます。 修飾子を tool 使用して、特定のツール またはツールの種類 で生成されたアラートのデータのみを表示します。

  • CodeQL を使用して生成されたcode scanning アラートのデータのみを表示する tool:codeql
  • Dependabot alerts のデータのみを表示する tool:dependabot
  • シークレット スキャンニング アラート のデータのみを表示する tool:secret-scanning
  • GitHub ツールまたはサードパーティ ツールによって生成されたすべてのタイプのアラートのデータを表示する tool:github または tool:third-party
  • code scanning のサードパーティ ツールによって生成されたすべてのアラートのデータを表示する tool:TOOL-NAME

アラートのプロパティで [概要] ビューをフィルター処理することもできます。

修飾子説明
codeql.ruleCodeQL の特定のルールによって識別される code scanning のデータのみを表示します。
dependabot.ecosystem特定のエコシステムの Dependabot alerts のデータのみを表示します。例: npm
dependabot.package特定のパッケージの Dependabot alerts のデータのみを表示します。例: tensorflow
dependabot.scopeDependabot alerts のデータのみを、runtime または development スコープで表示します。
secret-scanning.bypassedプッシュ保護がバイパスされた (true) またはバイパスされなかった (false) シークレット スキャンニング アラート のデータのみを表示します。
secret-scanning.provider特定のプロバイダーによって発行された シークレット スキャンニング アラート のデータのみを表示します。例: secret-scanning.provider:adafruit
secret-scanning.secret-type特定の種類のシークレットの シークレット スキャンニング アラート のデータのみを表示します。例: secret-scanning.secret-type:adafruit_io_key
secret-scanning.validity特定の有効性 (activeinactive、または unknown) の シークレット スキャンニング アラート のデータのみを表示します。
severity特定の重大度 (criticalhighmedium、または low) のアラートについてのみデータを表示します。
third-party.ruleサード パーティで開発されたツールの特定のルールによって識別される code scanning のデータのみを表示します。 たとえば、 third-party.rule:CVE-2021-26291-maven-artifact はサードパーティの code scanning ツールの CVE-2021-26291-maven-artifact ルールの結果のみを表示します。

Dependabot アラート ビュー フィルター

ビューをフィルター処理すると、修正する準備ができている Dependabot alerts を表示したり、公開に関する追加情報が利用可能な場所を表示したりできます。 任意の結果をクリックすると、アラートの完全な詳細を表示できます。

修飾子説明
ecosystem指定したエコシステムで検出された Dependabot alerts を表示します。例: ecosystem:Maven
has安全なバージョンがすでに利用可能な場合 (patch)、またはリポジトリから脆弱な関数への呼び出しが少なくとも 1 回検出された場合 (vulnerable-calls) のいずれかの脆弱性について、Dependabot alertsを表示します。 詳しくは、「Dependabot アラートの表示と更新」を参照してください。
isオープン (open) またはクローズ (closed) している Dependabot alerts を表示します。
package指定したパッケージで検出された Dependabot alerts を表示します。例: package:semver
resolutionDependabot alerts を、"自動無視された" (auto-dismissed)、"修正は既に開始されています" (fix-started)、"修正済み"(fixed)、"このアラートは不正確または間違っている "(inaccurate)、"これを修正するための帯域幅がありません" (no-bandwidth)、"脆弱なコードは実際には使用されていません"(not-used)、または "このプロジェクトに対して許容されるリスクとして閉じられた" (tolerable-risk) として表示します。
scope開発依存関係 (development) またはランタイム依存関係 (runtime) から Dependabot alerts を表示します。
sortDependabot alerts を、アラートが指すマニフェスト ファイル パス (manifest-path) またはアラートが検出されたパッケージの名前 (package-name) によってグループ化します。 または、アラートを、CVSS スコア、脆弱性の影響、関連性、およびアクション可能性に基づいて、最も重要なものから最も重要でないもの (most-important)、最新から最も古いもの (newest)、最も古いものから最新のもの (oldest)、または最も重要なものから最も重要でないもの (severity) の順で表示します。

Code scanning アラート ビュー フィルター

すべての code scanning アラートには、以下に示すカテゴリのいずれかが含まれます。 任意の結果をクリックすると、関連するクエリの完全な詳細と、アラートをトリガーしたコード行を表示できます。

修飾子説明
isオープン (open) またはクローズ (closed) された code scanning アラートを表示します。
resolution"誤検知" (false-postive)、"修正済み" (fixed)、"テストで使用" (used-in-tests)、または"修正されない" (wont-fix) としてクローズしている code scanning アラートを表示します。
rule指定したルールによって識別された code scanning アラートを表示します。
severitycriticalhighmedium、または low セキュリティ アラートとして分類された code scanning アラートを表示します。 あるいは、errorwarningnote の問題として分類された code scanning アラートを表示します。
sort最新から最も古い (created-desc)、最も古いものから最新 (created-asc)、最新の更新 (updated-desc)、または最新の更新 (updated-asc) の順に表示します
toolたとえば、GitHub の CodeQL アプリケーションを使用して作成されたアラート用の tool:CodeQL など、指定したツールで検出された code scanning アラートを表示します。

Secret scanning アラート ビュー フィルター

修飾子説明
bypassedプッシュ保護がバイパスされた (true) またはバイパスされなかった (false) シークレット スキャンニング アラート を表示します。
confidence信頼度が高い (high) またはその他 (other) の シークレット スキャンニング アラート を表示します。
isオープン (open) またはクローズしている (closed) シークレット スキャンニング アラート を表示します。
provider指定したプロバイダーによって発行されたすべてのシークレットのアラートを表示します。例: adafruit
resolution"誤検知"(false-positive)、"パターン削除済み" (pattern-deleted)、"パターン編集済み" (pattern-edited)、"失効済み" (revoked)、"テストで使用" (used-in-tests)、または "修正されない" (wont-fix) としてクローズしている シークレット スキャンニング アラートを表示します。
sort最新から最も古い (created-desc)、最も古いものから最新 (created-asc)、最新の更新 (updated-desc)、または最新の更新 (updated-asc) の順に表示します
secret-type指定したシークレットとプロバイダー (provider-pattern) またはカスタム パターン (custom-pattern) のアラートを表示します。