セキュリティの調査結果について
security configuration をリポジトリに適用すると、有効になったセキュリティ機能によって、そのリポジトリのセキュリティ指摘事項が提示される可能性が高いです。 これらの指摘事項は、機能固有のアラートとして、またはリポジトリのセキュリティを維持するように設計された自動的に生成された pull request として表示される場合があります。 組織全体の結果を分析し、security configuration に必要な調整を行うことができます。
Organization を最適に保護するには、共同作成者に、セキュリティ アラートと pull request をレビューして解決するよう勧める必要があります。
secret scanning アラートの解釈
Secret scanning は、リポジトリの Git 履歴全体や、それらのリポジトリ内の問題、pull request、およびディスカッションをスキャンし、誤ってコミットされ漏洩したトークンや秘密キーなどのシークレットに対応するためのセキュリティ ツールです。 secret scanning アラートには、次の 2 種類があります。
- パートナーに対するシークレット スキャンニング アラート (シークレットを発行したプロバイダーに送信されます)
- ユーザーに対するシークレット スキャンニング アラート (GitHub に表示され、解決が可能です)
組織の secret scanning アラートを表示するには、その組織のメイン ページに移動し、 [セキュリティ] タブをクリックしてから、 [Secret scanning] をクリックします。
secret scanning アラートの概要については、「シークレット スキャン アラートについて」を参照してください。
secret scanning アラートを評価する方法については、「シークレット スキャンからのアラートの評価」を参照してください。
code scanning アラートの解釈
Code scanning は、GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディング エラーを見つけることができる機能です。 分析によって特定された問題は、リポジトリに表示されます。これらの問題は、検出された脆弱性またはエラーに関する詳細情報を含む code scanning アラートとして指摘されます。
組織の code scanning アラートを表示するには、その組織のメイン ページに移動し、 [セキュリティ] タブをクリックしてから、 [Code scanning] をクリックします。
code scanning アラートの概要については、「Code scanningアラートについて」を参照してください。
code scanning アラートを解釈し解決する方法については、「リポジトリのコード スキャンのアラートの評価」と「コード スキャン アラートの解決」を参照してください。
Dependabot alerts の解釈
Dependabot alerts からは、組織のリポジトリで使用している依存関係の脆弱性についての通知があります。 組織の Dependabot alerts を表示するには、その組織のメイン ページに移動し、 [セキュリティ] タブをクリックしてから、 [Dependabot] をクリックします。
Dependabot alerts の概要については、「Dependabot アラートについて」を参照してください。
Dependabot alerts を解釈し解決する方法については、「Dependabot アラートの表示と更新」を参照してください。
注: Dependabot security updates を有効にした場合、Dependabot から、組織のリポジトリで使用されている依存関係を更新するための pull request が自動的に発生する可能性があります。 詳しくは、「Dependabot のセキュリティ アップデート」を参照してください。
次のステップ
GitHub-recommended security configuration を使用していて、セキュリティ有効化設定がニーズを満たしていないことが指摘事項に示されている場合は、custom security configuration を作成する必要があります。 開始するには、「Creating a custom security configuration」を参照してください。
custom security configuration を使用していて、セキュリティ有効化設定がニーズを満たしていないことが指摘事項に示されている場合は、既存の構成を編集できます。 詳しくは、「カスタム セキュリティ構成の編集」を参照してください。
最後に、global settings を使用して Organization レベルのセキュリティの設定を編集することもできます。 詳細については、「組織のグローバル セキュリティ設定の構成」を参照してください。