コード内のセキュリティ リスクの調査
[セキュリティ] タブのさまざまなビューを使用して、コード内のセキュリティ リスクを調べることができます。
- 概要: セキュリティ アラートの検出、修復、防止の傾向を調べるのに使用します。
- リスク: すべてのアラートの種類にわたって、リポジトリの現在の状態を調べるのに使用します。
- アラート ビュー: code scanning、Dependabot、または secret scanning アラートを詳しく調べるのに使用します。
これらのビューには、以下を行うためのデータとフィルターが用意されています。
- すべてのリポジトリでコード セキュリティのランドスケープを評価
- 対処する最も影響の大きい脆弱性を特定
- 潜在的な脆弱性に対する修復の進行状況を監視
組織レベルのコード セキュリティ リスクの表示
-
GitHub で、organization のメイン ページに移動します。
-
組織名の下で、 [ セキュリティ] をクリックします。
-
[セキュリティ リスク] ビューを表示するには、サイド バーで [ リスク] をクリックします。
-
ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。
- [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。
- 何らかの機能に対してヘッダーの [<数字> 影響を受ける] または [<数字> 影響を受けない] をクリックすると、その種類の開いているアラートがあるリポジトリ、または開いているアラートがないリポジトリのみが表示されます。
- ヘッダーの [アラートを開く] の説明をクリックすると、その種類とカテゴリのアラートがあるリポジトリのみが表示されます。 たとえば、 [1 クリティカル] の場合、Dependabot のクリティカル アラートがあるリポジトリが表示されます。
- リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
- 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。
Note
The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.
-
必要に応じて、左側のサイドバーを使って、特定のセキュリティ機能のアラートを詳しく調べます。 各ページでは、その機能固有のフィルターを使用して、検索を調整できます。 使用可能な修飾子の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。
Note
概要ビュー ([カバレッジ] および [リスク]) には、信頼度の高いアラートのデータのみが表示されます。 サード パーティ製ツールからの Code scanning アラート、無視されたディレクトリのsecret scanning アラート、プロバイダー以外のアラートは、すべてこれらのビューから省略されます。 そのため、個々のアラート ビューには、開いているアラートと閉じられたアラートの数が多い場合があります。
エンタープライズレベルのコード セキュリティ リスクの表示
エンタープライズ内のすべての組織のセキュリティ アラートのデータを表示できます。
Tip
検索フィールドで owner
フィルターを使って、データを organization ごとにフィルター処理できます。 詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。
-
GitHub Enterprise Server の右上で、ご自分のプロフィール フォトをクリックしてから、 [Enterprise 設定] をクリックします。
1. ページの左側にある Enterprise アカウント サイドバーで、 コード セキュリティ をクリックします。 -
[セキュリティ リスク] ビューを表示するには、サイド バーで [ リスク] をクリックします。
-
ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。
- [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。
- 何らかの機能に対してヘッダーの [<数字> 影響を受ける] または [<数字> 影響を受けない] をクリックすると、その種類の開いているアラートがあるリポジトリ、または開いているアラートがないリポジトリのみが表示されます。
- ヘッダーの [アラートを開く] の説明をクリックすると、その種類とカテゴリのアラートがあるリポジトリのみが表示されます。 たとえば、 [1 クリティカル] の場合、Dependabot のクリティカル アラートがあるリポジトリが表示されます。
- リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
- 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。
Note
The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.
-
必要に応じて、左側のサイドバーを使って、特定のセキュリティ機能のアラートを詳しく調べます。 各ページでは、その機能固有のフィルターを使用して、検索を調整できます。 使用可能な修飾子の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。
Note
概要ビュー ([カバレッジ] および [リスク]) には、信頼度の高いアラートのデータのみが表示されます。 サード パーティ製ツールからの Code scanning アラート、無視されたディレクトリのsecret scanning アラート、プロバイダー以外のアラートは、すべてこれらのビューから省略されます。 そのため、個々のアラート ビューには、開いているアラートと閉じられたアラートの数が多い場合があります。