リポジトリでのセキュリティ指摘事項について
security configuration をリポジトリに適用すると、有効になったセキュリティ機能によって、そのリポジトリのセキュリティ指摘事項が提示される可能性が高いです。 これらの指摘事項は、機能固有のアラートとして、またはリポジトリのセキュリティを維持するように設計された自動的に生成された pull request として表示される場合があります。 Organization を最適にセキュリティで保護するには、これらのアラートと pull request を理解して解決してから、指摘事項を分析し、security configuration に必要な調整を行う必要があります。
セキュリティの概要を使用したセキュリティ アラートを含むリポジトリの検索
セキュリティの概要で示される情報は、リポジトリと Organization へのアクセス権、および GitHub Advanced Security がそれらのリポジトリと Organization によって使われているかどうかによって異なります。 詳しくは、「セキュリティの概要について」を参照してください。
-
GitHub で、organization のメイン ページに移動します。
-
組織名の下で、 [ セキュリティ] をクリックします。
-
[セキュリティ リスク] ビューを表示するには、サイド バーで [ リスク] をクリックします。
-
ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。
- [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。
- 何らかの機能に対してヘッダーの [<数字> 影響を受ける] または [<数字> 影響を受けない] をクリックすると、その種類の開いているアラートがあるリポジトリ、または開いているアラートがないリポジトリのみが表示されます。
- ヘッダーの [アラートを開く] の説明をクリックすると、その種類とカテゴリのアラートがあるリポジトリのみが表示されます。 たとえば、 [1 クリティカル] の場合、Dependabot のクリティカル アラートがあるリポジトリが表示されます。
- リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
- 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。
-
必要に応じて、左側のサイドバーを使って、特定のセキュリティ機能のアラートを詳しく調べます。 各ページでは、その機能固有のフィルターを使用して、検索を調整できます。 使用可能な修飾子の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。
secret scanning アラートの解釈
Secret scanning は、リポジトリの Git 履歴全体や、そのリポジトリ内の問題、pull requests、およびディスカッションをスキャンし、誤ってコミットされ漏洩したトークンや秘密キーなどのシークレットに対応するためのセキュリティ ツールです。 secret scanning アラートには、次の 2 種類があります。
- パートナーに対するシークレット スキャンニング アラート (シークレットを発行したプロバイダーに送信されます)
- ユーザーに対するシークレット スキャンニング アラート (GitHub Enterprise Cloud に表示され、解決が可能です)
リポジトリの secret scanning アラートを表示するには、そのリポジトリのメイン ページに移動し、 [セキュリティ] タブをクリックしてから、 [Secret scanning] をクリックします。
secret scanning アラートの概要については、「シークレット スキャン アラートについて」を参照してください。
secret scanning アラートを解釈して解決する方法については、「シークレット スキャンからのアラートの管理」を参照してください。
code scanning アラートの解釈
Code scanning は、GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディング エラーを見つけることができる機能です。 分析によって特定された問題は、リポジトリに表示されます。これらの問題は、検出された脆弱性またはエラーに関する詳細情報を含む code scanning アラートとして指摘されます。
リポジトリの code scanning アラートを表示するには、そのリポジトリのメイン ページに移動し、 [セキュリティ] タブをクリックしてから、 [Code scanning] をクリックします。
code scanning アラートの概要については、「Code scanningアラートについて」を参照してください。
code scanning アラートを解釈し解決する方法については、「リポジトリのコード スキャンのアラートを管理する」を参照してください。
Dependabot alerts の解釈
Dependabot alerts からは、リポジトリで使用している依存関係の脆弱性についての通知があります。 リポジトリの Dependabot alerts を表示するには、そのリポジトリのメイン ページに移動し、 [セキュリティ] タブをクリックしてから、 [Dependabot] をクリックします。
Dependabot alerts の概要については、「Dependabot アラートについて」を参照してください。
Dependabot alerts を解釈し解決する方法については、「Dependabot アラートの表示と更新」を参照してください。
注: Dependabot security updates または Dependabot version updates を有効にした場合、Dependabot から、リポジトリで使用されている依存関係を更新するための pull request が自動的に発生する可能性があります。 詳細については、「Dependabot のセキュリティ アップデート」および「GitHub Dependabot のバージョンアップデートについて」を参照してください。
次のステップ
GitHub-recommended security configuration を使用していて、セキュリティ有効化設定がニーズを満たしていないことが指摘事項に示されている場合は、custom security configuration を作成する必要があります。 開始するには、「カスタム セキュリティ構成の作成」を参照してください。
custom security configuration を使用していて、セキュリティ有効化設定がニーズを満たしていないことが指摘事項に示されている場合は、既存の構成を編集できます。 詳しくは、「カスタム セキュリティ構成の編集」を参照してください。
最後に、global settings を使用して Organization レベルのセキュリティの設定を編集することもできます。 詳細については、「組織のグローバル セキュリティ設定の構成」を参照してください。