コード内のセキュリティ リスクの調査
[セキュリティ] タブのさまざまなビューを使用して、コード内のセキュリティ リスクを調べることができます。
- 概要: セキュリティ アラートの検出、修復、防止の傾向を調べるのに使用します。
- リスク: すべてのアラートの種類にわたって、リポジトリの現在の状態を調べるのに使用します。
- アラート ビュー: code scanning、Dependabot、または secret scanning アラートを詳しく調べるのに使用します。
これらのビューには、以下を行うためのデータとフィルターが用意されています。
- すべてのリポジトリでコード セキュリティのランドスケープを評価
- 対処する最も影響の大きい脆弱性を特定
- 潜在的な脆弱性に対する修復の進行状況を監視
- 詳細な分析とレポートのために、現在選択されているデータをエクスポートします。
概要について詳しくは、「セキュリティの分析情報の表示」を参照してください。
組織レベルのコード セキュリティ リスクの表示
-
GitHub で、organization のメイン ページに移動します。
-
組織名の下で、 [ セキュリティ] をクリックします。
-
[セキュリティ リスク] ビューを表示するには、サイド バーで [ リスク] をクリックします。
-
ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。
- [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。
- 何らかの機能に対してヘッダーの [<数字> 影響を受ける] または [<数字> 影響を受けない] をクリックすると、その種類の開いているアラートがあるリポジトリ、または開いているアラートがないリポジトリのみが表示されます。
- ヘッダーの [アラートを開く] の説明をクリックすると、その種類とカテゴリのアラートがあるリポジトリのみが表示されます。 たとえば、 [1 クリティカル] の場合、Dependabot のクリティカル アラートがあるリポジトリが表示されます。
- リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
- 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。
Note
The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.
-
必要に応じて、左側のサイドバーを使って、特定のセキュリティ機能のアラートを詳しく調べます。 各ページでは、その機能固有のフィルターを使用して、検索を調整できます。 使用可能な修飾子の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。
-
必要に応じて CSV をエクスポート ボタンを使って現在のページに表示されているデータを CSV ファイルとしてダウンロードし、セキュリティ調査や詳細なデータ分析を行います。 詳しくは、「セキュリティの概要からのデータをエクスポート」を参照してください。
Note
概要ビュー ([概要]、[カバレッジ] および [リスク]) には、デフォルトのアラートのデータのみが表示されます。 サード パーティ製ツールからの Secret scanning アラート、プロバイダー以外のアラートは、すべてこれらのビューから省略されます。 そのため、個々のアラート ビューには、開いているアラートと閉じられたアラートの数が多い場合があります。
エンタープライズレベルのコード セキュリティ リスクの表示
エンタープライズ内のすべての組織のセキュリティ アラートのデータを表示できます。
Tip
検索フィールドで owner
フィルターを使って、データを organization ごとにフィルター処理できます。 マネージド ユーザーを含む Enterprise の所有者である場合は、owner-type
フィルターを使用して、データをリポジトリ所有者の種類ごとにフィルター処理し、organization 所有のリポジトリまたはユーザー所有のリポジトリのデータを表示できます。 詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。
-
GitHub Enterprise Cloud に移動します。
-
GitHub の右上の自分のプロフィール写真をクリックし、[自分の Enterprise] をクリックします。
-
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。1. ページの左側にある Enterprise アカウント サイドバーで、 コード セキュリティ をクリックします。
-
[セキュリティ リスク] ビューを表示するには、サイド バーで [ リスク] をクリックします。
-
ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。
- [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。
- 何らかの機能に対してヘッダーの [<数字> 影響を受ける] または [<数字> 影響を受けない] をクリックすると、その種類の開いているアラートがあるリポジトリ、または開いているアラートがないリポジトリのみが表示されます。
- ヘッダーの [アラートを開く] の説明をクリックすると、その種類とカテゴリのアラートがあるリポジトリのみが表示されます。 たとえば、 [1 クリティカル] の場合、Dependabot のクリティカル アラートがあるリポジトリが表示されます。
- リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
- 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。
Note
The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.
-
必要に応じて、左側のサイドバーを使って、特定のセキュリティ機能のアラートを詳しく調べます。 各ページでは、その機能固有のフィルターを使用して、検索を調整できます。 使用可能な修飾子の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。
Note
概要ビュー ([概要]、[カバレッジ] および [リスク]) には、デフォルトのアラートのデータのみが表示されます。 サード パーティ製ツールからの Secret scanning アラート、プロバイダー以外のアラートは、すべてこれらのビューから省略されます。 そのため、個々のアラート ビューには、開いているアラートと閉じられたアラートの数が多い場合があります。
次のステップ
コードのセキュリティ リスクを評価したら、開発者と共同作業してアラートを修復するセキュリティ キャンペーンを作成する準備が整います。 セキュリティ アラートの大規模な修正については、「セキュリティ キャンペーンの作成と追跡」と「セキュリティ アラートの大規模な修正に関するベスト プラクティス」を参照してください。