セキュリティの概要について
セキュリティの概要には、組織またはエンタープライズのセキュリティ状態の大まかな概要が表示され、介入を必要とする問題のあるリポジトリを簡単に特定できます。 また、セキュリティの概要を使って特定のセキュリティ機能を有効にしているリポジトリを確認したり、現在使われていない使用可能なセキュリティ機能を構成したりすることもできます。
セキュリティの概要には、リポジトリに対してどのセキュリティ機能が有効になっているかが表示され、各機能のアラートを統合できます。
- Dependabot の機能とアラートに関するリスクとカバレッジの情報は、すべてのリポジトリに対して表示されます。
詳細については、「Dependabot alerts について」、「secret scanning alerts for users について」および「GitHub Advanced Security について」を参照してください。
アラートのフィルター処理と並べ替えについて
セキュリティの概要は、リポジトリのグループに関するセキュリティを把握するための強力な方法を提供します。 そのビューは対話型であり、フィルターを使って集計データを詳しく調べ、高いリスクや低い機能カバレッジのソースを特定できます。 複数のフィルターを適用してより狭い対象領域に絞り込むと、選択内容を反映してビュー全体のデータが変更されます。 詳しくは、「セキュリティの概要でのアラートのフィルタリング」を参照してください。
また、セキュリティ アラートの種類ごとに専用のビューもあります。これを使うと、分析対象を特定のアラート セットに制限してから、各ビューに固有のさまざまなフィルターを使って結果をさらに絞り込むことができます。 たとえば、secret scanning アラート ビューでは、Secret type
フィルターを使って、GitHub personal access token など、特定のシークレットの secret scanning alerts のみを表示できます。
注: セキュリティの概要には、セキュリティ機能によって発生したアクティブなアラートが表示されます。 リポジトリに対してセキュリティの概要でアラートがない場合でも、検出されていないセキュリティ脆弱性やコードのエラーは存在するかもしれません。
Organization レベルのセキュリティの概要について
セキュリティの概要は、エンタープライズが所有するすべての組織の [Security] タブにあります。 各ビューには、ドリルダウンできる集計データが表示されます。各フィルターを追加すると、選択したリポジトリやアラートを反映するようにデータが更新されます。
会社のアプリケーション セキュリティ チームでは、さまざまなビューを使って、組織のセキュリティの状態を幅広く分析することも、限定的に分析することもできます。 たとえば、エンタープライズに GitHub Advanced Security をロールアウトするときに、概要ページを使って組織または特定のチームによる機能の導入を監視したり、組織内の全リポジトリにわたって特定の種類や重大度レベルを持つすべてのアラートを確認したりできます。
組織の所有者と組織のセキュリティ マネージャーは、自分の組織に関するセキュリティの概要にアクセスできます。 組織メンバーは、組織レベルのセキュリティの概要にアクセスして、自身が管理特権を持つ、またはセキュリティ アラートへのアクセス権が付与されているリポジトリの結果を表示することもできます。 セキュリティ アラートのアクセス管理の詳細については、「リポジトリのセキュリティと分析設定を管理する」を参照してください。
[Security Risk] ビュー
このビューには、さまざまな種類のセキュリティ アラートによって影響を受けるリポジトリに関するデータが表示されます。
- [Type] と [Teams] ドロップダウンを使って、リポジトリの種類とチームのフィルターを追加します。
- [Open alerts] または [Repositories affected] をクリックすると、特定の種類のセキュリティ アラートを持つリポジトリのみが表示されます。
さらに、検索ボックスをクリックすると、使用可能なフィルターの完全なセットが一覧表示されます。
[Security Coverage] ビュー
このビューには、セキュリティ機能を使用しているリポジトリに関するデータが表示されます。
- [Type] と [Teams] ドロップダウンを使って、リポジトリの種類とチームのフィルターを追加します。
- ヘッダーに表示されている [Alerts enabled] やその他の機能をクリックすると、それらの機能が有効になっているリポジトリのみが表示されます。
- 検索ボックスで任意の
FEATURE:enabled
フィルターをFEATURE:not-enabled
に変更すると、機能を有効にしていないリポジトリが表示されます。 - 任意のリポジトリで、 [セキュリティ設定] をクリックして、ワンクリック設定があるセキュリティ機能を有効にします。
さらに、検索ボックスをクリックすると、使用可能なフィルターの完全なセットが一覧表示されます。
Enterprise レベルのセキュリティの概要について
セキュリティの概要は、エンタープライズの [Code Security] タブにあります。 それぞれの概要には、エンタープライズについての集計された、リポジトリ固有のセキュリティ情報が表示されます。 Enterprise が所有する、セキュリティ アラートがあるリポジトリを表示したり、すべてのセキュリティ アラートを表示したり、Enterprise 全体のセキュリティ機能固有のアラートを表示したりできます。
エンタープライズ所有者は、自身が所有者またはセキュリティ マネージャーである組織のアラートを表示できます。エンタープライズ所有者は、組織の所有者として組織に参加し、エンタープライズレベルのセキュリティの概要でそのすべてのアラートを表示できます。 詳細については、「エンタープライズが所有する組織でのロールの管理」を参照してください。
エンタープライズにおける組織の所有者と組織のセキュリティ マネージャーは、エンタープライズレベルのセキュリティの概要にアクセスできます。 フル アクセス権が付与されている組織のリポジトリとアラートを表示できます。