Skip to main content

セキュリティ指摘事項の解釈

Organization 内のリポジトリのセキュリティ データを分析して、セキュリティ セットアップを変更する必要があるかどうかを判断できます。

この機能を使用できるユーザーについて

管理者 ロールを持つ組織の所有者、セキュリティ マネージャー、および組織メンバー

セキュリティの調査結果について

security configuration をリポジトリに適用すると、有効になったセキュリティ機能によって、そのリポジトリのセキュリティ指摘事項が提示される可能性が高いです。 これらの指摘事項は、機能固有のアラートとして、またはリポジトリのセキュリティを維持するように設計された自動的に生成された pull request として表示される場合があります。 組織全体の結果を分析し、security configuration に必要な調整を行うことができます。

Organization を最適に保護するには、共同作成者に、セキュリティ アラートと pull request をレビューして解決するよう勧める必要があります。

secret scanning アラートの解釈

Secret scanning は、リポジトリの Git 履歴全体や、それらのリポジトリ内の issue、pull request、ディスカッション、wiki をスキャンし、誤ってコミットされ漏洩したトークンや秘密キーなどのシークレットに対応するためのセキュリティ ツールです。 secret scanning アラートには、次の 2 種類があります。

  • パートナーに対するシークレット スキャンニング アラート (シークレットを発行したプロバイダーに送信されます)
  • ユーザーに対するシークレット スキャンニング アラート (GitHub に表示され、解決が可能です)

組織の secret scanning アラートを表示するには、その組織のメイン ページに移動し、 [セキュリティ] タブをクリックしてから、 [Secret scanning] をクリックします。

secret scanning アラートの概要については、「シークレット スキャン アラートについて」をご覧ください。

secret scanning アラートの評価方法については、「シークレット スキャンからのアラートの評価」をご覧ください。

code scanning アラートの解釈

Code scanning は、GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディング エラーを見つけることができる機能です。 分析によって特定された問題は、リポジトリに表示されます。これらの問題は、検出された脆弱性またはエラーに関する詳細情報を含む code scanning アラートとして指摘されます。

組織の code scanning アラートを表示するには、その組織のメイン ページに移動し、 [セキュリティ] タブをクリックしてから、 [Code scanning] をクリックします。

code scanning アラートの概要については、「Code scanningアラートについて」をご覧ください。

code scanning アラートを解釈し解決する方法については、「リポジトリのコード スキャンのアラートの評価」と「コード スキャン アラートの解決」をご覧ください。

Dependabot alerts の解釈

Dependabot alerts からは、組織のリポジトリで使用している依存関係の脆弱性についての通知があります。 組織の Dependabot alerts を表示するには、その組織のメイン ページに移動し、 [セキュリティ] タブをクリックしてから、 [Dependabot] をクリックします。

Dependabot alerts の概要については、「Dependabot アラートについて」をご覧ください。

Dependabot alerts を解釈して解決する方法については、「Dependabot アラートの表示と更新」をご覧ください。

Note

Dependabot security updates を有効にした場合、Dependabot から、organization のリポジトリで使用されている依存関係を更新するための pull request が自動的に発生する可能性もあります。 詳しくは、「Dependabot のセキュリティ アップデート」をご覧ください。

次のステップ

GitHub-recommended security configuration を使用していて、セキュリティ有効化設定がニーズを満たしていないことが指摘事項に示されている場合は、custom security configuration を作成する必要があります。 始めるには、「カスタム セキュリティ構成の作成」をご覧ください。

custom security configuration を使っていて、セキュリティ有効化設定がニーズを満たしていないことが指摘事項に示されている場合は、既存の構成を編集できます。 詳しくは、「カスタム セキュリティ構成の編集」をご覧ください。

最後に、global settings を使用して Organization レベルのセキュリティの設定を編集することもできます。 詳しくは、「組織のグローバル セキュリティ設定の構成」をご覧ください。