Skip to main content

コード セキュリティ機能の採用の評価

セキュリティの概要を使うと、どのチームとリポジトリがコード セキュリティ機能が既に有効にしているかを確認し、まだ保護されていないものを特定できます。

この機能を使用できるユーザーについて

アクセスには以下が必要です。

  • 組織ビュー: 組織内のリポジトリへの書き込みアクセス
  • エンタープライズ ビュー: 組織の所有者とセキュリティ マネージャー

コード セキュリティ機能の採用について

セキュリティの概要を使うと、どのリポジトリとチームが各コード セキュリティ機能を既に有効にしているか、どこのユーザーがこれらの機能の採用をさらに奨励する必要があるかを確認できます。 [セキュリティ カバレッジ] ビューには、Organization での機能の有効化に関する概要と詳細情報が表示されます。 [有効] と [有効ではない] のリンク、[チーム] ドロップダウン メニュー、ページ ヘッダーの検索フィールドを使って、リポジトリのサブセットを表示するようにビューをフィルター処理できます。

Organization の [セキュリティ] タブにある [セキュリティ カバレッジ] ビューのヘッダー セクションのスクリーンショット。

Note

"pull request アラート" は、リポジトリに対してアラートが有効になってから、code scanning が少なくとも 1 つの pull request を分析した場合にのみ有効として報告されます。

[有効化傾向] ビューを使用すると、Organization 内、または Enterprise 内のすべての Organization のリポジトリについて、Dependabot、code scanning、または secret scanning の有効化状態および有効化状態の経時的な傾向を確認できます。 これらの各機能について、機能が有効になっているリポジトリの割合を視覚化したグラフと、さまざまな時点の有効化の割合を含む詳細テーブルを表示できます。 詳しくは、「Organization の有効化傾向の表示」と「Enterprise の有効化傾向の表示」をご覧ください。

Organization のコード セキュリティ機能の有効化の表示

Organization 内のリポジトリでコード セキュリティ機能の有効化を評価するためのデータを表示できます。

  1. GitHub で、organization のメイン ページに移動します。

  2. 組織名の下で、 [ セキュリティ] をクリックします。

    組織の水平ナビゲーション バーのスクリーンショット。 盾のアイコンと [セキュリティ] というラベルのタブが、濃いオレンジ色の枠線で囲まれています。

  3. [セキュリティ カバレッジ] ビューを表示するには、サイドバーの [カバレッジ] をクリックします。

  4. ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。

    • [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。 詳しくは、「Organization のリポジトリに対するチームのアクセスを管理する」を参照してください。
    • 機能のヘッダーの [NUMBER enabled] または [NUMBER not enabled] をクリックすると、その機能が有効または無効になっているリポジトリのみが表示されます。
    • リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
    • 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。

    [セキュリティ カバレッジ] ビューのスクリーンショット。 フィルター処理のオプションが、濃いオレンジ色の枠線で囲まれています。

リポジトリの一覧で、[Dependabot] の下の [一時停止] ラベルは、Dependabot updates が一時停止されているリポジトリを示します。 非アクティブ状態の条件については、セキュリティに関しては「Dependabot のセキュリティ アップデート」を、バージョンの更新に関しては「GitHub Dependabot のバージョンアップデートについて」をそれぞれご覧ください。

Enterprise のコード セキュリティ機能の有効化の表示

Enterprise 内のすべての Organization についてのコード セキュリティ機能の有効化を評価するためのデータを表示できます。

  1. GitHub Enterprise Server の右上で、ご自分のプロフィール フォトをクリックしてから、 [Enterprise 設定] をクリックします。

    GitHub Enterprise Server のプロファイル写真をクリックしたときに表示されるドロップダウン メニューのスクリーンショット。 [エンタープライズ設定] オプションが濃いオレンジ色の枠線で強調表示されています。
    1. ページの左側にある Enterprise アカウント サイドバーで、 コード セキュリティ をクリックします。

  2. [セキュリティ カバレッジ] ビューを表示するには、サイドバーの [カバレッジ] をクリックします。

  3. ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。

    • [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。 詳しくは、「Organization のリポジトリに対するチームのアクセスを管理する」を参照してください。
    • 機能のヘッダーの [NUMBER enabled] または [NUMBER not enabled] をクリックすると、その機能が有効または無効になっているリポジトリのみが表示されます。
    • リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
    • 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。

    [セキュリティ カバレッジ] ビューのヘッダー セクションのスクリーンショット。 フィルター処理のオプションが、濃いオレンジ色の枠線で囲まれています。

Tip

検索フィールドで owner フィルターを使って、データを organization ごとにフィルター処理できます。 詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。

データを表示して、Organization のコード セキュリティ機能の有効化状態と有効化状態傾向を評価できます。

  1. GitHub で、organization のメイン ページに移動します。

  2. 組織名の下で、 [ セキュリティ] をクリックします。

    組織の水平ナビゲーション バーのスクリーンショット。 盾のアイコンと [セキュリティ] というラベルのタブが、濃いオレンジ色の枠線で囲まれています。

  3. サイドバーの [メトリック] で、[ 有効化傾向] をクリックします。

  4. [Dependabot]、[Code scanning]、または [Secret scanning] のいずれかのタブをクリックすると、有効化傾向と、その機能が有効になっている Organization 内のリポジトリの割合が表示されます。 このデータは、グラフと詳細テーブルとして表示されます。

  5. 必要に応じて、[有効化傾向] ビュー ページの上部にあるオプションを使用して、有効化傾向を表示するリポジトリのグループをフィルター処理します。

    • 日付ピッカーを使用して、有効化傾向を表示する時間範囲を設定します。

    • 検索ボックスをクリックして、表示される有効化傾向にさらにフィルターを追加します。 適用できるフィルターは、[概要] ダッシュボード ビューのフィルターと同じです。 詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。

      フィルターが適用された 30 日間にわたる Dependabot の状態と傾向を示す、Organization の [有効化傾向] ビューのスクリーンショット。

データを表示して、Enterprise 内のすべての Organization のコード セキュリティ機能の有効化状態と有効化状態傾向を評価できます。

  1. GitHub Enterprise Server の右上で、ご自分のプロフィール フォトをクリックしてから、 [Enterprise 設定] をクリックします。

    GitHub Enterprise Server のプロファイル写真をクリックしたときに表示されるドロップダウン メニューのスクリーンショット。 [エンタープライズ設定] オプションが濃いオレンジ色の枠線で強調表示されています。
    1. ページの左側にある Enterprise アカウント サイドバーで、 コード セキュリティ をクリックします。

  2. [有効化傾向] ビューを表示するには、サイド バーの [有効化傾向] をクリックします。

  3. [Dependabot]、[Code scanning]、または [Secret scanning] のいずれかのタブをクリックすると、有効化傾向と、Enterprise 内のすべての Organization における、その機能が有効になっているリポジトリの割合が表示されます。 このデータは、グラフと詳細テーブルとして表示されます。

  4. 必要に応じて、[有効化傾向] ビュー ページの上部にあるオプションを使用して、有効化傾向を表示するリポジトリのグループをフィルター処理します。

Tip

検索フィールドで owner: フィルターを使って、データを organization ごとにフィルター処理できます。 詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。

有効化データの解釈と操作

一部のコード セキュリティ機能は、すべてのリポジトリで有効にすることができます (また、推奨されます)。 たとえば、シークレット スキャンニング アラート とプッシュ保護によりリポジトリにどのような情報が保存されているかに関係なく、セキュリティ リークのリスクが軽減されます。 これらの機能をまだ使っていないリポジトリを見つけた場合は、それらを有効にするか、リポジトリを所有するチームと有効化の計画について話し合うことをお勧めします。 Organization 全体での機能の有効化については、「組織でセキュリティ機能を有効にする」をご覧ください。 Enterprise 全体で機能を有効にする方法については、「Enterprise 用の GitHub Advanced Security 機能の管理」をご覧ください。

その他の機能は、すべてのリポジトリで使用できるわけではありません。 たとえば、サポートされていないエコシステムまたは言語のみを使用するリポジトリに対して Dependabot を有効にしても意味がありません。 そのため、これらの機能が有効ではないリポジトリがあるのは通常のことです。

また、Enterprise では、一部のコード セキュリティ機能の使用を制限するポリシーを構成する場合もあります。 詳しくは、「エンタープライズのコード セキュリティと分析のためのポリシーの適用」をご覧ください。