セキュリティの概要について
セキュリティの概要には、組織またはエンタープライズのセキュリティ状態の大まかな概要が表示され、介入が必要なリポジトリを簡単に特定できます。 また、セキュリティの概要を使って特定のセキュリティ機能を有効にしているリポジトリを確認したり、現在使われていない使用可能なセキュリティ機能を構成したりすることもできます。
セキュリティの概要には、リポジトリに対して有効になっているセキュリティ機能が表示され、リポジトリとアラートに焦点を当てたビューが含まれているため、セキュリティの問題をすばやく調査し、修復するためのアクションを実行できます。
- Dependabot の機能とアラートに関するリスクとカバレッジの情報は、すべてのリポジトリに対して表示されます。
- GitHub Advanced Security の機能 (code scanning や secret scanning など) に関するリスクとカバレッジの情報は、GitHub Advanced Security を使用するエンタープライズに対して表示されます。
詳しくは、「Dependabot アラートについて」と「GitHub Advanced Security について」をご覧ください。
そのビューは対話型であり、フィルターを使って集計データを詳しく調べ、高いリスクや低い機能カバレッジのソースを特定できます。 複数のフィルターを適用してより狭い対象領域に絞り込むと、現在の選択内容を反映してビュー全体のデータとメトリックが変更されます。 詳しくは、「セキュリティの概要でアラートをフィルター処理する」を参照してください。
また、セキュリティ アラートの種類ごとに専用のビューもあります。これを使うと、分析対象を特定のアラート セットに制限してから、各ビューに固有のさまざまなフィルターを使って結果をさらに絞り込むことができます。 たとえば、secret scanning アラート ビューでは、[シークレットの種類] フィルターを使って、GitHub personal access token など、特定のシークレットの シークレット スキャン アラート のみを表示できます。
注: セキュリティの概要には、セキュリティ機能によって発生したアクティブなアラートが表示されます。 リポジトリのセキュリティの概要にアラートが表示されない場合は、検出されなかったセキュリティの脆弱性またはコード エラーがまだ存在するか、そのリポジトリに対して機能が有効になっていない可能性があります。
組織のセキュリティの概要について
会社のアプリケーション セキュリティ チームでは、さまざまなビューを使って、組織のセキュリティの状態を幅広く分析することも、限定的に分析することもできます。 たとえば、概要ページを使って、GitHub Advanced Security を Enterprise にロールアウトするときに Organization または特定のチームによる機能の導入を監視したり、Organization 内のすべてのリポジトリで特定の種類と重大度レベルのすべてのアラートを確認したりできます。
セキュリティの概要は、エンタープライズが所有するすべての組織の [セキュリティ] タブにあります。 各ビューには、自身がアクセスできるデータの概要が表示されます。 フィルターを追加すると、ビュー全体のすべてのデータとメトリックが、選択したリポジトリまたはアラートを反映するように変更されます。 アクセス許可について詳しくは、「セキュリティの概要でデータを表示するためのアクセス許可」を参照してください。
主なセキュリティの概要について
セキュリティの概要に各リポジトリが表示され、各種セキュリティ機能のインジケーターと、それぞれの種類についていくつのアラートがあるかが表示されています。 リポジトリに対してセキュリティ機能が有効になっていない場合、その機能のインジケーターは淡色表示されます。さらに、リスク スコアが、コード スキャン、Dependabot、シークレット スキャン アラートに基づいて、リポジトリごとに計算されます。 このスコアはベータ版であるため、注意して使用する必要があります。 そのアルゴリズムとアプローチは変更される可能性があります。
| インジケーター | 意味 |
|---|---|
| Code scanning アラート. 詳しくは、「コード スキャンについて」を参照してください。 | |
| Secret scanning アラート。 詳しくは、「シークレット スキャンについて」を参照してください。 | |
| Dependabot alertsについて受ける方法は、カスタマイズできます。 詳しくは、「Dependabot アラートについて」を参照してください。 | |
| セキュリティ機能は有効ですが、このリポジトリではアラートは発生しません。 | |
| このリポジトリでは、セキュリティ機能はサポートされていません。 |
エンタープライズのセキュリティの概要について
セキュリティの概要は、エンタープライズの [コード セキュリティ] タブにあります。 それぞれのページには、エンタープライズについての集計された、リポジトリ固有のセキュリティ情報が表示されます。 Enterprise が所有する、セキュリティ アラートがあるリポジトリを表示したり、すべてのセキュリティ アラートを表示したり、Enterprise 全体のセキュリティ機能固有のアラートを表示したりできます。
エンタープライズ所有者は、自身が所有者またはセキュリティ マネージャーである組織のアラートを表示できます。エンタープライズ所有者は、エンタープライズレベルのセキュリティの概要でそのすべてのアラートを表示するために、組織の所有者として組織に参加する必要があります。 詳細については、「Enterprise によって所有される Organization のロールを管理する」を参照してください。
チームのセキュリティの概要について
セキュリティの概要は、エンタープライズが所有する組織のすべてのチームの [セキュリティ] タブにあります。
チーム レベルでは、セキュリティの概要には、チームが管理者特権を持っているリポジトリに関するリポジトリ固有のセキュリティ情報が表示されます。 詳しくは、「Organization のリポジトリに対するチームのアクセスを管理する」を参照してください。