セキュリティの調査結果について
security configuration をリポジトリに適用すると、有効になったセキュリティ機能によって、そのリポジトリのセキュリティ指摘事項が提示される可能性が高いです。 これらの指摘事項は、機能固有のアラートとして、またはリポジトリのセキュリティを維持するように設計された自動的に生成された pull request として表示される場合があります。 組織全体の結果を分析し、security configuration に必要な調整を行うことができます。
Organization を最適に保護するには、共同作成者に、セキュリティ アラートと pull request をレビューして解決するよう勧める必要があります。 さらに、共同作成者と共同作業して、過去のセキュリティ アラートを修正できます。「セキュリティ アラートの大規模な修正に関するベスト プラクティス」をご覧ください。
セキュリティの概要を使用したセキュリティ アラートを含むリポジトリの検索
セキュリティの概要に表示される情報は、リポジトリや組織へのアクセス権、GitHub Advanced Security がそれらのリポジトリと組織によって使用されているかどうかによって異なります。 詳しくは、「セキュリティの概要について」を参照してください。
-
GitHub で、organization のメイン ページに移動します。
-
組織名の下で、 [ セキュリティ] をクリックします。
-
既定では、概要には、すべてのネイティブ GitHub ツール (フィルター:
tool:github
) のアラートが表示されます。 特定のツールのアラートを表示するには、フィルター テキスト ボックスのtool:github
を置き換えます。 次に例を示します。tool:dependabot
は、Dependabot によって識別された依存関係のアラートのみを表示します。tool:secret-scanning
は、secret scanning によって識別されたシークレットのアラートのみを表示します。tool:codeql
は、CodeQL code scanning で識別された潜在的なセキュリティ脆弱性に関するアラートのみを表示します。
-
さらにフィルターを追加すると、評価するリポジトリのみを表示できます。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理について詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。
- [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。
- 何らかの機能に対してヘッダーの [<数字> 影響を受ける] または [<数字> 影響を受けない] をクリックすると、その種類の開いているアラートがあるリポジトリ、または開いているアラートがないリポジトリのみが表示されます。
- ヘッダーの [アラートを開く] の説明をクリックすると、その種類とカテゴリのアラートがあるリポジトリのみが表示されます。 たとえば、 [1 クリティカル] の場合、Dependabot のクリティカル アラートがあるリポジトリが表示されます。
- リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
-
必要に応じて、左側のサイドバーを使って、特定のセキュリティ機能のアラートを詳しく調べます。 各ページでは、その機能固有のフィルターを使用して、検索を調整できます。 使用可能な修飾子の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。
secret scanning アラートの解釈
Secret scanning は、リポジトリの Git 履歴全体や、それらのリポジトリ内の issue、pull request、ディスカッション、wiki をスキャンし、誤ってコミットされ漏洩したトークンや秘密キーなどのシークレットに対応するためのセキュリティ ツールです。 secret scanning アラートには、次の 2 種類があります。
- パートナーに対するシークレット スキャンニング アラート (シークレットを発行したプロバイダーに送信されます)
- ユーザーに対するシークレット スキャンニング アラート (GitHub Enterprise Cloud に表示され、解決が可能です)
組織の secret scanning アラートを表示するには、その組織のメイン ページに移動し、 [セキュリティ] タブをクリックしてから、 [Secret scanning] をクリックします。
secret scanning アラートの概要については、「シークレット スキャン アラートについて」をご覧ください。
secret scanning アラートの評価方法については、「シークレット スキャンからのアラートの評価」をご覧ください。
code scanning アラートの解釈
Code scanning は、GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディング エラーを見つけることができる機能です。 分析によって特定された問題は、リポジトリに表示されます。これらの問題は、検出された脆弱性またはエラーに関する詳細情報を含む code scanning アラートとして指摘されます。
組織の code scanning アラートを表示するには、その組織のメイン ページに移動し、 [セキュリティ] タブをクリックしてから、 [Code scanning] をクリックします。
code scanning アラートの概要については、「Code scanningアラートについて」をご覧ください。
code scanning アラートを解釈し解決する方法については、「リポジトリのコード スキャンのアラートの評価」と「コード スキャン アラートの解決」をご覧ください。
Dependabot alerts の解釈
Dependabot alerts からは、組織のリポジトリで使用している依存関係の脆弱性についての通知があります。 組織の Dependabot alerts を表示するには、その組織のメイン ページに移動し、 [セキュリティ] タブをクリックしてから、 [Dependabot] をクリックします。
Dependabot alerts の概要については、「Dependabot アラートについて」をご覧ください。
Dependabot alerts を解釈して解決する方法については、「Dependabot アラートの表示と更新」をご覧ください。
Note
Dependabot security updates を有効にした場合、Dependabot から、organization のリポジトリで使用されている依存関係を更新するための pull request が自動的に発生する可能性もあります。 詳しくは、「Dependabot のセキュリティ アップデート」をご覧ください。
次のステップ
GitHub-recommended security configuration を使用していて、セキュリティ有効化設定がニーズを満たしていないことが指摘事項に示されている場合は、custom security configuration を作成する必要があります。 始めるには、「カスタム セキュリティ構成の作成」をご覧ください。
custom security configuration を使っていて、セキュリティ有効化設定がニーズを満たしていないことが指摘事項に示されている場合は、既存の構成を編集できます。 詳しくは、「カスタム セキュリティ構成の編集」をご覧ください。
最後に、global settings を使用して Organization レベルのセキュリティの設定を編集することもできます。 詳しくは、「組織のグローバル セキュリティ設定の構成」をご覧ください。