Skip to main content

コード セキュリティ リスクの評価

セキュリティの概要を使って、セキュリティ アラートの影響を受けるチームとリポジトリを確認し、緊急の修復アクションが必要なリポジトリを特定することができます。

この機能を使用できるユーザーについて

組織のセキュリティの概要は、その組織のすべてのメンバーが利用できます。 表示されるビューとデータは、組織内のロールと、組織内の個々のリポジトリに対するアクセス許可によって決まります。 詳しくは「セキュリティの概要について」をご覧ください。

企業のセキュリティの概要には、組織の所有者とセキュリティ管理者がアクセスできる組織のデータが表示されます。 エンタープライズ所有者は、自身が組織の所有者またはセキュリティ マネージャーとして追加されている組織のデータのみを表示できます。 詳しくは、「Enterprise によって所有される Organization のロールを管理する」をご覧ください。

すべてのエンタープライズとその組織にセキュリティの概要があります。 GitHub Advanced Security の機能 を使っている場合は、公開リポジトリでは無料ですが、 追加の情報が表示されます。 詳しくは、「GitHub Advanced Security について」を参照してください。

コードのセキュリティ リスクについて

セキュリティの概要を使って、セキュリティ アラートの影響がないリポジトリとチーム、および未解決のセキュリティ アラートを確認できます。 [セキュリティ リスク] ページには、セキュリティ アラートの影響を受ける組織またはエンタープライズ内のリポジトリに関する概要と詳細情報が表示され、重大度別にアラートの内訳が表示されます。 ビューをフィルター処理し、[影響を受ける] リンクと [影響を受けない] リンク、[開いているアラート] の下のリンク、[チーム] ドロップダウン メニュー、ページ ヘッダーの検索フィールドを使って、リポジトリのサブセットを表示できます。 このビューは、リポジトリ、チーム、またはリポジトリのグループの全体像を理解するのに最適な方法です。すべての種類のセキュリティ アラートを 1 つのビューで表示できるためです。

組織の [セキュリティ] タブにある [セキュリティ リスク] ビューのヘッダー セクションのスクリーンショット。 [影響を受ける] と [影響を受けない] のリンク、[チーム] セレクター、検索フィールドなどのフィルター処理オプションが濃いオレンジ色の枠線で囲まれています。

[セキュリティ リスク] ページに表示されているデータの CSV ファイルをダウンロードできます。 このデータ ファイルは、セキュリティ調査や詳細なデータ分析などの作業に使用でき、外部データセットと簡単に統合できます。 詳しくは、「リスクページとカバレッジページからのデータのエクスポート」を参照してください。

注: 開いているアラートのないすべてのリポジトリが、影響を受けないリポジトリのセットに含まれることを理解しておくことが重要です。 つまり、影響を受けないリポジトリには、スキャンされ特定されたアラートが閉じられているリポジトリに加えて、この機能が有効になっていないすべてのリポジトリが含まれます。

組織レベルのコード セキュリティ リスクの表示

セキュリティの概要で示される情報は、リポジトリと組織へのアクセス権、および GitHub Advanced Security がそれらのリポジトリと組織によって使われているかどうかによって異なります。 詳しくは、「セキュリティの概要について」を参照してください。

  1. GitHub.com で、Organization のメイン ページへ移動します。

  2. 組織名の下で、 [ セキュリティ] をクリックします。

    組織の水平ナビゲーション バーのスクリーンショット。 盾のアイコンと [セキュリティ] というラベルのタブが、濃いオレンジ色の枠線で囲まれています。

  3. [セキュリティ リスク] ビューを表示するには、サイド バーで [ リスク] をクリックします。

  4. ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。

    • [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。
    • 何らかの機能に対してヘッダーの [<数字> 影響を受ける] または [<数字> 影響を受けない] をクリックすると、その種類の開いているアラートがあるリポジトリ、または開いているアラートがないリポジトリのみが表示されます。
    • ヘッダーの [アラートを開く] の説明をクリックすると、その種類とカテゴリのアラートがあるリポジトリのみが表示されます。 たとえば、 [1 クリティカル] の場合、Dependabot のクリティカル アラートがあるリポジトリが表示されます。
    • リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
    • 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。

    組織の [セキュリティ] タブにある [セキュリティ リスク] ビューのヘッダー セクションのスクリーンショット。 [影響を受ける] と [影響を受けない] のリンク、アラートの重要度リンク、[チーム] セレクター、アーカイブされたリポジトリ、検索フィールドなどのフィルター処理オプションが濃いオレンジ色の枠線で囲まれています。

  5. 必要に応じて、左側のサイドバーを使って、特定のセキュリティ機能のアラートを詳しく調べます。 各ページでは、その機能固有のフィルターを使用して、検索を調整できます。 使用可能な修飾子の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。

注: 概要ビュー ("概要"、"カバレッジ" および "リスク") には、信頼度の高いアラートのデータのみが表示されます。 サード パーティ製ツールからの Code scanning アラートと、無視されたディレクトリとプロバイダー以外のアラートに対する secret scanning アラートはすべて、これらのビューから省略されます。 そのため、個々のアラート ビューには、開いているアラートと閉じられたアラートの数が多い場合があります。

エンタープライズレベルのコード セキュリティ リスクの表示

エンタープライズ内のすべての組織のセキュリティ アラートのデータを表示できます。 セキュリティの概要で示される情報は、リポジトリと組織へのアクセス権、および GitHub Advanced Security がそれらのリポジトリと組織によって使われているかどうかによって異なります。 詳しくは、「セキュリティの概要について」を参照してください。

ヒント: 検索フィールドで org: フィルターを使って、組織でデータをフィルター処理できます。 詳しくは、「セキュリティの概要でアラートをフィルター処理する」を参照してください。

  1. GitHub.com に移動します。

  2. GitHub.com の右上の自分のプロフィール写真をクリックし、 [自分のエンタープライズ] をクリックしてください。

  3. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。

  4. 左側のサイドバーで [ コード セキュリティ] をクリックします。

  5. [セキュリティ カバレッジ] ビューを表示するには、サイドバーの [リスク] をクリックします。

  6. ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。

    • [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。
    • 何らかの機能に対してヘッダーの [<数字> 影響を受ける] または [<数字> 影響を受けない] をクリックすると、その種類の開いているアラートがあるリポジトリ、または開いているアラートがないリポジトリのみが表示されます。
    • ヘッダーの [アラートを開く] の説明をクリックすると、その種類とカテゴリのアラートがあるリポジトリのみが表示されます。 たとえば、 [1 クリティカル] の場合、Dependabot のクリティカル アラートがあるリポジトリが表示されます。
    • リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
    • 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。

    エンタープライズの [セキュリティ リスク] ビューのスクリーンショット。 [影響を受ける] と [影響を受けない] のリンク、アラートの重要度リンク、[チーム] セレクター、アーカイブされたリポジトリ、検索フィールドなどのフィルター処理オプションが濃いオレンジ色の枠線で囲まれています。

注: 概要ビュー ("概要"、"カバレッジ" および "リスク") には、信頼度の高いアラートのデータのみが表示されます。 サード パーティ製ツールからの Code scanning アラートと、無視されたディレクトリとプロバイダー以外のアラートに対する secret scanning アラートはすべて、これらのビューから省略されます。 そのため、個々のアラート ビューには、開いているアラートと閉じられたアラートの数が多い場合があります。