セキュリティの概要には、セキュリティ アラートの検出、修復、防止の傾向を調べ、コードベースの現在の状態を詳しく調べることができるフォーカス ビューが含まれています。
- Dependabot の機能とアラートに関する情報は、すべてのリポジトリに対して表示されます。
- GitHub Advanced Security の機能 (code scanning や secret scanning など) に関する情報は、GitHub Advanced Security を使用するエンタープライズとパブリック リポジトリに対して表示されます。
詳細については、「Dependabot アラートについて」および「GitHub Advanced Security について」を参照してください。
ビューについて
Note
すべてのビューには、組織または企業で表示するアクセス許可を持っているリポジトリの 既定 のブランチの情報とメトリックが表示されます。
このビューは、集計されたデータを詳細に確認し、高リスクのソースを特定し、セキュリティの傾向を確認し、コードに入るセキュリティの脆弱性をブロックすることに対する pull request 分析の影響を確認できるフィルターのある対話型です。 複数のフィルターを適用してより狭い対象領域に絞り込むと、現在の選択内容を反映してビュー全体のデータとメトリックが変更されます。 詳しくは、「セキュリティの概要でアラートをフィルター処理する」を参照してください。
Organization のセキュリティの概要の [概要]、[リスク]、[カバレッジ]、および [CodeQL pull request アラート] ページからデータを含むコンマ区切り値 (CSV) ファイルをダウンロードできます。 これらのファイルは、セキュリティ調査や詳細なデータ分析などの作業に使用でき、外部データセットと簡単に統合できます。詳細については「セキュリティの概要からのデータをエクスポート」を参照してください。
セキュリティ アラートの種類ごとに専用のビューがあります。 分析を特定の種類のアラートに制限し、各ビューに固有のフィルターの範囲で結果をさらに絞り込むことができます。 たとえば、secret scanning アラート ビューでは、[シークレットの種類] フィルターを使って、GitHub personal access token など、特定のシークレットの シークレット スキャンニング アラート のみを表示できます。
Note
セキュリティの概要に、セキュリティ機能によって発生したアクティブなアラートが表示されます。 リポジトリのセキュリティの概要にアラートが表示されない場合は、検出されなかったセキュリティの脆弱性またはコード エラーがまだ存在するか、そのリポジトリに対して機能が有効になっていない可能性があります。
組織のセキュリティの概要について
会社のアプリケーション セキュリティ チームでは、さまざまなビューを使って、組織のセキュリティの状態を幅広く分析することも、限定的に分析することもできます。 たとえば、チームは、[概要] ダッシュボード ビューを使用して Organization のセキュリティ状況と進捗を追跡できます。
セキュリティの概要は、すべての組織の [セキュリティ] タブにあります。 各ビューには、自身がアクセスできるデータの概要が表示されます。 フィルターを追加すると、ビュー全体のすべてのデータとメトリックが、選択したリポジトリまたはアラートを反映するように変更されます。 アクセス許可について詳しくは、「セキュリティの概要でデータを表示するためのアクセス許可」を参照してください。
セキュリティの概要には複数のビューがあり、さまざまな方法で有効化とアラートのデータを調べることができます。
- 概要: セキュリティ アラートの 検出、修復、および 防止 の傾向の視覚化に関しては、「セキュリティの分析情報の表示」を参照してください。
- リスクとアラートのビュー: すべての種類のセキュリティ アラートからのリスクを調査するか、単一のアラートの種類に焦点を当て、特定の脆弱な依存関係、コードの弱点、または漏洩したシークレットからのリスクを特定する方法については、「コード セキュリティ リスクの評価」を参照してください。
- カバレッジ: 組織内のリポジトリ全体でコード セキュリティ機能の導入を評価する方法については、「コード セキュリティ機能の採用の評価」を参照してください。
- 有効化の傾向: 異なるチームがセキュリティ機能をどれだけ迅速に導入しているかを確認します。
- CodeQL pull request アラート: pull request に対する CodeQL の実行の影響と、開発チームによるコード スキャン アラートの解決方法の評価については、「pull request アラートのメトリックの表示」を参照してください。
- シークレット スキャン: プッシュ保護 によってブロックされているシークレットの種類と、プッシュ保護 をバイパスしているチームを確認する方法については、「シークレット スキャン プッシュ保護のメトリックを表示する」および「プッシュ保護をバイパスする要求の確認」を参照してください。
また、セキュリティの概要からアラートを修復するためのセキュリティ キャンペーンを作成および管理します。「セキュリティ キャンペーンの作成と追跡」と「セキュリティ アラートの大規模な修正に関するベスト プラクティス」参照してください。
エンタープライズのセキュリティの概要について
セキュリティの概要は、エンタープライズの [コード セキュリティ] タブにあります。 それぞれのページには、エンタープライズについての集計された、リポジトリ固有のセキュリティ情報が表示されます。
組織のセキュリティの概要と同様に、エンタープライズのセキュリティの概要には複数のビューがあり、さまざまな方法でデータを調べることができます。
アクセス許可について詳しくは、「セキュリティの概要でデータを表示するためのアクセス許可」を参照してください。
セキュリティの概要でデータを表示するためのアクセス許可
組織レベルの概要
組織の 所有者またはセキュリティ マネージャー である場合は、すべてのビューで組織内のすべてのリポジトリのデータを表示できます。
組織またはチームのメンバー である場合は、組織のセキュリティの概要を表示し、適切なレベルのアクセス権を持つリポジトリのデータを確認できます。
| 次を持つ組織またはチームのメンバー | 概要ダッシュボード ビュー | リスク ビューとアラート ビュー | カバレッジ ビュー |
|---|---|---|---|
1 つ以上のリポジトリへの admin アクセス権 | それらのリポジトリのデータを表示する | それらのリポジトリのデータを表示する | それらのリポジトリ |
1 つ以上のリポジトリへの write アクセス権 | それらのリポジトリの code scanning データと Dependabot データを表示する | それらのリポジトリの code scanning データと Dependabot データを表示する | アクセス権なし |
read または triage1 つ以上のリポジトリへのアクセス権 | アクセス権なし | アクセス権なし | アクセス権なし |
| 1 つ以上のリポジトリへのセキュリティ アラート アクセス | それらのリポジトリのすべてのセキュリティ アラート データを表示する | それらのリポジトリのすべてのセキュリティ アラート データを表示する | アクセス権なし |
| 1 つ以上の種類のセキュリティ アラートを表示するアクセス許可を持つカスタム組織ロール | すべてのリポジトリの許可されたアラート データを表示する | すべてのビューですべてのリポジトリの許可されたアラート データを表示する | アクセス権なし |
Note
組織メンバーに対して一貫性のある応答性の高いエクスペリエンスを確保するために、組織レベルのセキュリティ概要ページには、最近更新された 3,000 個のリポジトリからの結果のみが表示されます。 結果が制限されている場合は、ページの上部に通知が表示されます。 組織の所有者とセキュリティ マネージャーには、すべてのリポジトリからの結果を確認できます。
セキュリティ アラートと関連ビューへのアクセスについて詳しくは、「リポジトリのセキュリティと分析設定を管理する」と「カスタムリポジトリロールについて」を参照してください。
エンタープライズレベルの概要
Note
企業所有者 の場合、組織レベルと企業レベルの概要の両方で組織のリポジトリのデータを閲覧するには、組織所有者として組織に参加する必要があります。漏洩したシークレットを含むリポジトリに対して管理者のアクセス許可を持つユーザーのみが、アラートのセキュリティ アラート詳細およびトークン メタデータを閲覧できます。 企業所有者は、この目的のためにリポジトリへの一時的なアクセスを要求できます。 詳細については、「Enterprise によって所有される Organization のロールを管理する」を参照してください。
エンタープライズレベルのセキュリティの概要では、組織の所有者またはセキュリティ マネージャー であるすべての組織のデータを確認できます。 詳しくは、「Enterprise 用の GitHub Advanced Security 機能の管理」をご覧ください。
マネージド ユーザーを含む Enterprise の所有者である場合は、セキュリティの概要でユーザー所有のリポジトリのデータを表示し、リポジトリ所有者の種類ごとにフィルター処理できます。 マネージド ユーザー アカウント の詳細については、「Enterprise Managed Users について」を参照してください。