Skip to main content

セキュリティの概要について

組織の全体的なセキュリティ環境に関する分析情報を取得し、組織が所有するリポジトリのアラートの概要を表示できます。 組織全体でコード セキュリティ機能の導入を監視することもできます。

この機能を使用できるユーザーについて

組織のセキュリティの概要は、その組織のすべてのメンバーが利用できます。 表示されるビューとデータは、組織内のロールと、組織内の個々のリポジトリに対するアクセス許可によって決まります。 詳しくは「セキュリティの概要について」をご覧ください。

企業のセキュリティの概要には、組織の所有者とセキュリティ管理者がアクセスできる組織のデータが表示されます。 エンタープライズ所有者は、自身が組織の所有者またはセキュリティ マネージャーとして追加されている組織のデータのみを表示できます。 詳しくは、「Enterprise によって所有される Organization のロールを管理する」をご覧ください。

すべてのエンタープライズとその組織にセキュリティの概要があります。 GitHub Advanced Security の機能 を使っている場合は、公開リポジトリでは無料ですが、 追加の情報が表示されます。 詳しくは、「GitHub Advanced Security について」を参照してください。

セキュリティの概要について

セキュリティの概要には、組織またはエンタープライズのセキュリティ状態の大まかな概要が表示され、介入が必要なリポジトリを簡単に特定できます。 また、セキュリティの概要を使って特定のセキュリティ機能を有効にしているリポジトリを確認したり、現在使われていない使用可能なセキュリティ機能を構成したりすることもできます。

注: セキュリティの概要には、組織のリポジトリの既定のブランチの情報とメトリックが表示されます。

セキュリティの概要には、リポジトリに対して有効になっているセキュリティ機能が表示され、リポジトリとアラートに焦点を当てたビューが含まれているため、セキュリティの問題をすばやく調査し、修復するためのアクションを実行できます。

  • Dependabot の機能とアラートに関するリスクとカバレッジの情報は、すべてのリポジトリに対して表示されます。
  • GitHub Advanced Security の機能 (code scanning や secret scanning など) に関するリスクとカバレッジの情報は、GitHub Advanced Security を使用するエンタープライズとパブリック リポジトリに対して表示されます。
  • セキュリティ機能からの分析情報の組織レベルのダッシュボードは、GitHub Advanced Securityを使用するエンタープライズ所有の組織}と、パブリック リポジトリに対して表示されます。

詳細については、「Dependabot アラートについて」および「GitHub Advanced Security について」を参照してください。

セキュリティの概要のリスクと対象範囲のページから、データを含むコンマ区切り (CSV) ファイルをダウンロードできます。 これらのファイルは、セキュリティ調査や詳細なデータ分析などの作業に使用でき、外部データセットと簡単に統合できます。詳細については「リスクページとカバレッジページからのデータのエクスポート」を参照してください。

そのビューは対話型であり、フィルターを使って集計データを詳しく調べ、高いリスクや低い機能カバレッジのソースを特定できます。 複数のフィルターを適用してより狭い対象領域に絞り込むと、現在の選択内容を反映してビュー全体のデータとメトリックが変更されます。 詳しくは、「セキュリティの概要でアラートをフィルター処理する」を参照してください。

また、セキュリティ アラートの種類ごとに専用のビューもあります。これを使うと、分析対象を特定のアラート セットに制限してから、各ビューに固有のさまざまなフィルターを使って結果をさらに絞り込むことができます。 たとえば、secret scanning アラート ビューでは、[シークレットの種類] フィルターを使って、GitHub personal access token など、特定のシークレットの シークレット スキャンニング アラート のみを表示できます。

注: セキュリティの概要には、セキュリティ機能によって発生したアクティブなアラートが表示されます。 リポジトリのセキュリティの概要にアラートが表示されない場合は、検出されなかったセキュリティの脆弱性またはコード エラーがまだ存在するか、そのリポジトリに対して機能が有効になっていない可能性があります。

組織のセキュリティの概要について

会社のアプリケーション セキュリティ チームでは、さまざまなビューを使って、組織のセキュリティの状態を幅広く分析することも、限定的に分析することもできます。 たとえば、チームでは、GitHub Advanced Security をロールアウトするときに [セキュリティ カバレッジ] ビューを使って組織全体または特定のチームによる機能の導入を監視したり、[セキュリティ リスク] ビューを使ってオープン シークレット スキャンニング アラート が 5 個を超えているリポジトリを特定したりできます。 セキュリティの概要を使って、一連のリポジトリを検索し、それらすべてに対するセキュリティ機能を同時に有効または無効にすることもできます。 詳細については、「複数のリポジトリでセキュリティ機能を有効にする」を参照してください。

セキュリティの概要は、エンタープライズが所有するすべての組織の [セキュリティ] タブにあります。 各ビューには、自身がアクセスできるデータの概要が表示されます。 フィルターを追加すると、ビュー全体のすべてのデータとメトリックが、選択したリポジトリまたはアラートを反映するように変更されます。 アクセス許可について詳しくは、「セキュリティの概要でデータを表示するためのアクセス許可」を参照してください。

セキュリティの概要には複数のビューがあり、さまざまな方法で有効化とアラートのデータを調べることができます。

  • "概要" を使用して、組織のセキュリティ状況と進行状況に関する分析情報を表示します。
  • [カバレッジ] を使って、組織内のリポジトリ全体におけるコード セキュリティ機能の導入を評価します。
  • 組織内の 1 つ以上のリポジトリに対するすべての種類のセキュリティ アラートからのリスクを評価するには、「リスク」を使用します。
  • 個々のセキュリティ アラート ビューを使って、特定の脆弱な依存関係、コードの弱点、または漏洩したシークレットからのリスクを特定します。

注: 概要ビュー ("概要"、"カバレッジ" および "リスク") には、信頼度の高いアラートのデータのみが表示されます。 サード パーティ製ツールからの Code scanning アラートと、無視されたディレクトリとプロバイダー以外のアラートに対する secret scanning アラートはすべて、これらのビューから省略されます。 そのため、個々のアラート ビューには、開いているアラートと閉じられたアラートの数が多い場合があります。

これらのビューの詳細については、「組織の分析情報を表示する」、「コード セキュリティ機能の採用の評価」、「コード セキュリティ リスクの評価」を参照してください。

エンタープライズのセキュリティの概要について

セキュリティの概要は、エンタープライズの [コード セキュリティ] タブにあります。 それぞれのページには、エンタープライズについての集計された、リポジトリ固有のセキュリティ情報が表示されます。

組織のセキュリティの概要と同様に、エンタープライズのセキュリティの概要には複数のビューがあり、さまざまな方法で有効化とアラートのデータを調べることができます。

  • "カバレッジ" ビューを使って、エンタープライズ内の組織全体におけるコード セキュリティ機能の導入を評価します。
  • "リスク" ビューを使って、エンタープライズ内の組織全体におけるすべての種類のセキュリティ アラートからのリスクを評価します。
  • 個々のセキュリティ アラート ビューを使って、特定の脆弱な依存関係、コードの弱点、または漏洩したシークレットからのリスクを特定します。

アクセス許可について詳しくは、「セキュリティの概要でデータを表示するためのアクセス許可」を参照してください。

セキュリティの概要でデータを表示するためのアクセス許可

組織レベルの概要

組織の所有者またはセキュリティ マネージャーである場合は、すべてのビューで組織内のすべてのリポジトリのデータを表示できます。

組織のメンバーである場合は、組織のセキュリティの概要を表示し、アクセス権を持つリポジトリのデータを確認できます。

次を持つ組織のメンバー概要ダッシュボード (ベータ版版) ビューリスク ビューとアラート ビューカバレッジ ビュー
1 つ以上のリポジトリへの admin アクセス権それらのリポジトリのデータを表示するそれらのリポジトリのデータを表示するそれらのリポジトリのデータを表示し、セキュリティ機能を有効または無効にする
1 つ以上のリポジトリへの write アクセス権それらのリポジトリの code scanning データと Dependabot データを表示するそれらのリポジトリの code scanning データと Dependabot データを表示するそれらのリポジトリにはアクセスできない
1 つ以上のリポジトリへのセキュリティ アラート アクセスそれらのリポジトリのすべてのセキュリティ アラート データを表示するそれらのリポジトリのすべてのセキュリティ アラート データを表示するそれらのリポジトリにはアクセスできない
1 つ以上の種類のセキュリティ アラートを表示するアクセス許可を持つカスタム組織ロールすべてのリポジトリの許可されたアラート データを表示するすべてのビューですべてのリポジトリの許可されたアラート データを表示するアクセス権なし

注: 組織メンバーに対して一貫性のある応答性の高いエクスペリエンスを確保するために、組織レベルのセキュリティ概要ページには、最近更新された 3,000 個のリポジトリからの結果のみが表示されます。 結果が制限されている場合は、ページの上部に通知が表示されます。 組織の所有者とセキュリティ マネージャーには、すべてのリポジトリからの結果を確認できます。

セキュリティ アラートと関連ビューへのアクセスについて詳しくは、「リポジトリのセキュリティと分析設定を管理する」と「カスタムリポジトリロールについて」を参照してください。

エンタープライズレベルの概要

注: 企業所有者の場合、組織レベルと企業レベルの概要の両方で組織のリポジトリのデータを閲覧するには、組織所有者として組織に参加する必要があります。漏洩したシークレットを含むリポジトリに対して管理者のアクセス許可を持つユーザーのみが、アラートのセキュリティ アラート詳細およびトークン メタデータを閲覧できます。 企業所有者は、この目的のためにリポジトリへの一時的なアクセスを要求できます。詳細については、「Enterprise によって所有される Organization のロールを管理する」を参照してください。

エンタープライズレベルのセキュリティの概要では、組織の所有者またはセキュリティ マネージャーであるすべての組織のデータを確認できます。 ただし、エンタープライズレベルのセキュリティの概要を使用して、セキュリティ機能を有効または無効にすることはできません。 詳しくは、「Enterprise 用の GitHub Advanced Security 機能の管理」を参照してください。

参考資料