Skip to main content

コード セキュリティ機能の採用の評価

セキュリティの概要を使うと、どのチームとリポジトリがコード セキュリティ機能が既に有効にしているかを確認し、まだ保護されていないものを特定できます。

この機能を使用できるユーザーについて

組織のセキュリティの概要は、その組織のすべてのメンバーが利用できます。 表示されるビューとデータは、組織内のロールと、組織内の個々のリポジトリに対するアクセス許可によって決まります。 詳しくは「セキュリティの概要について」をご覧ください。

企業のセキュリティの概要には、組織の所有者とセキュリティ管理者がアクセスできる組織のデータが表示されます。 エンタープライズ所有者は、自身が組織の所有者またはセキュリティ マネージャーとして追加されている組織のデータのみを表示できます。 詳しくは、「Enterprise によって所有される Organization のロールを管理する」をご覧ください。

すべてのエンタープライズとその組織にセキュリティの概要があります。 GitHub Advanced Security の機能 を使っている場合は、公開リポジトリでは無料ですが、 追加の情報が表示されます。 詳しくは、「GitHub Advanced Security について」を参照してください。

コード セキュリティ機能の採用について

セキュリティの概要を使うと、どのリポジトリとチームが各コード セキュリティ機能を既に有効にしているか、どこのユーザーがこれらの機能の採用をさらに奨励する必要があるかを確認できます。 [セキュリティ カバレッジ] ビューには、Organization での機能の有効化に関する概要と詳細情報が表示されます。 [有効] と [有効ではない] のリンク、[チーム] ドロップダウン メニュー、ページ ヘッダーの検索フィールドを使って、リポジトリのサブセットを表示するようにビューをフィルター処理できます。

組織の [セキュリティ] タブにある [セキュリティ カバレッジ] ビューのヘッダー セクションのスクリーンショット。 [有効] と [有効ではない] のリンク、[チーム] セレクター、検索フィールドなどのフィルター処理オプションが濃いオレンジ色の枠線で囲まれています。

[セキュリティ カバレッジ] ページに表示されているデータの CSV ファイルをダウンロードできます。 このデータ ファイルは、セキュリティ調査や詳細なデータ分析などの作業に使用でき、外部データセットと簡単に統合できます。 詳しくは、「リスクページとカバレッジページからのデータのエクスポート」を参照してください。

組織のコード セキュリティ機能の有効化の表示

セキュリティの概要で示される情報は、リポジトリと組織へのアクセス権、および GitHub Advanced Security がそれらのリポジトリと組織によって使われているかどうかによって異なります。 詳しくは、「セキュリティの概要について」を参照してください。

リポジトリの一覧で、[Dependabot] の下の [一時停止] ラベルは、Dependabot updates が一時停止されているリポジトリを示します。 非アクティブ状態の条件について詳しくは、セキュリティに関しては「Dependabot のセキュリティ アップデート」を、バージョンの更新に関しては「GitHub Dependabot のバージョンアップデートについて」をそれぞれ参照してください。

  1. GitHub.com で、Organization のメイン ページへ移動します。

  2. 組織名の下で、 [ セキュリティ] をクリックします。

    組織の水平ナビゲーション バーのスクリーンショット。 盾のアイコンと [セキュリティ] というラベルのタブが、濃いオレンジ色の枠線で囲まれています。

  3. [セキュリティ カバレッジ] ビューを表示するには、サイドバーの [カバレッジ] をクリックします。

  4. ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。

    • [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。 詳しくは、「Organization のリポジトリに対するチームのアクセスを管理する」を参照してください。
    • 機能のヘッダーの [NUMBER enabled] または [NUMBER not enabled] をクリックすると、その機能が有効または無効になっているリポジトリのみが表示されます。
    • リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
    • 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。

    組織の [セキュリティ] タブにある [セキュリティ カバレッジ] ビューのヘッダー セクションのスクリーンショット。 [有効] と [有効ではない] のリンク、[チーム] セレクター、アーカイブされたリポジトリ、検索フィールドなどのフィルター処理オプションが濃いオレンジ色の枠線で囲まれています。

  5. 必要に応じて、 [セキュリティ設定] をクリックしてリポジトリのコード セキュリティ機能を有効にし、 [セキュリティ設定の保存] をクリックして変更を確認します。 機能が表示されない場合は、より複雑な構成要件があるため、リポジトリ設定ダイアログを使う必要があります。 詳しくは、「リポジトリを保護する」を参照してください。

  6. 必要に応じて、現在の検索に一致するリポジトリの一部またはすべてを選んで、テーブル ヘッダーの [セキュリティ設定] をクリックすると、サイド パネルが表示され、選んだリポジトリのセキュリティ機能を有効にできます。 終わったら、 [変更の適用] をクリックして変更を確定します。 詳しくは、「複数のリポジトリでセキュリティ機能を有効にする」を参照してください。

注:

  • code scanning の既定のセットアップを有効にしても、選択されたリポジトリの高度なセットアップの既存の構成は オーバーライドされません が、既定のセットアップの既存の構成は オーバーライドされます
  • secret scanning に対して "アラート" を有効にすると、信頼度の高いアラートが有効になります。 プロバイダー以外のアラートを有効にする場合は、リポジトリ、組織、またはエンタープライズ設定を編集する必要があります。 詳細については、「サポートされているシークレット」を参照してください。

エンタープライズのコード セキュリティ機能の有効化の表示

エンタープライズ内のすべての組織についてのコード セキュリティ機能の有効化を評価するためのデータを表示できます。 セキュリティの概要で示される情報は、リポジトリと組織へのアクセス権、および GitHub Advanced Security がそれらのリポジトリと組織によって使われているかどうかによって異なります。 詳しくは、「セキュリティの概要について」を参照してください。

エンタープライズ レベルのビューでは、機能の有効化に関するデータを表示することはできますが、機能を有効または無効にすることはできません。 機能の有効化について詳しくは、「複数のリポジトリでセキュリティ機能を有効にする」をご覧ください。

ヒント: 検索フィールドで org: フィルターを使って、組織でデータをフィルター処理できます。 詳しくは、「セキュリティの概要でアラートをフィルター処理する」を参照してください。

  1. GitHub.com に移動します。

  2. GitHub.com の右上の自分のプロフィール写真をクリックし、 [自分のエンタープライズ] をクリックしてください。

  3. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。1. 左側のサイドバーで [ コード セキュリティ] をクリックします。

  4. [セキュリティ カバレッジ] ビューを表示するには、サイドバーの [カバレッジ] をクリックします。

  5. ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。

    • [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。 詳しくは、「Organization のリポジトリに対するチームのアクセスを管理する」を参照してください。
    • 機能のヘッダーの [NUMBER enabled] または [NUMBER not enabled] をクリックすると、その機能が有効または無効になっているリポジトリのみが表示されます。
    • リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
    • 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。

    エンタープライズの [セキュリティ カバレッジ] ビューのヘッダー セクションのスクリーンショット。 [有効] と [有効ではない] のリンク、[チーム] セレクター、アーカイブされたリポジトリ、検索フィールドなどのフィルター処理オプションが濃いオレンジ色の枠線で囲まれています。

有効化データの解釈と操作

一部のコード セキュリティ機能は、すべてのリポジトリで有効にすることができます (また、推奨されます)。 たとえば、シークレット スキャンニング アラート とプッシュ保護によりリポジトリにどのような情報が保存されているかに関係なく、セキュリティ リークのリスクが軽減されます。 これらの機能をまだ使っていないリポジトリを見つけた場合は、それらを有効にするか、リポジトリを所有するチームと有効化の計画について話し合うことをお勧めします。 組織全体で機能を有効にする方法については、「組織のセキュリティおよび分析設定を管理する」を参照してください。

その他の機能は、すべてのリポジトリで使用できるわけではありません。 たとえば、サポートされていないエコシステムまたは言語のみを使用するリポジトリに対して Dependabot を有効にしても意味がありません。 そのため、これらの機能が有効ではないリポジトリがあるのは通常のことです。

また、エンタープライズでは、一部のコード セキュリティ機能の使用を制限するポリシーを構成する場合もあります。 詳しくは、「エンタープライズのコード セキュリティと分析のためのポリシーの適用」を参照してください。