コードのセキュリティ リスクについて
セキュリティの概要を使って、セキュリティ アラートの影響がないリポジトリとチーム、および未解決のセキュリティ アラートを確認できます。 [セキュリティ リスク] ページには、セキュリティ アラートの影響を受ける組織またはエンタープライズ内のリポジトリに関する概要と詳細情報が表示され、重大度別にアラートの内訳が表示されます。 ビューをフィルター処理し、[影響を受ける] リンクと [影響を受けない] リンク、[開いているアラート] の下のリンク、[チーム] ドロップダウン メニュー、ページ ヘッダーの検索フィールドを使って、リポジトリのサブセットを表示できます。 このビューは、リポジトリ、チーム、またはリポジトリのグループの全体像を理解するのに最適な方法です。すべての種類のセキュリティ アラートを 1 つのビューで表示できるためです。
[セキュリティ リスク] ページに表示されているデータの CSV ファイルをダウンロードできます。 このデータ ファイルは、セキュリティ調査や詳細なデータ分析などの作業に使用でき、外部データセットと簡単に統合できます。 詳しくは、「セキュリティの概要からのデータをエクスポート」を参照してください。
注: 開いているアラートのないすべてのリポジトリが、影響を受けないリポジトリのセットに含まれることを理解しておくことが重要です。 つまり、影響を受けないリポジトリには、スキャンされ特定されたアラートが閉じられているリポジトリに加えて、この機能が有効になっていないすべてのリポジトリが含まれます。
組織レベルのコード セキュリティ リスクの表示
セキュリティの概要で示される情報は、リポジトリと Organization へのアクセス権、および GitHub Advanced Security がそれらのリポジトリと Organization によって使われているかどうかによって異なります。 詳しくは、「セキュリティの概要について」を参照してください。
-
GitHub で、organization のメイン ページに移動します。
-
組織名の下で、 [ セキュリティ] をクリックします。
-
[セキュリティ リスク] ビューを表示するには、サイド バーで [ リスク] をクリックします。
-
ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。
- [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。
- 何らかの機能に対してヘッダーの [<数字> 影響を受ける] または [<数字> 影響を受けない] をクリックすると、その種類の開いているアラートがあるリポジトリ、または開いているアラートがないリポジトリのみが表示されます。
- ヘッダーの [アラートを開く] の説明をクリックすると、その種類とカテゴリのアラートがあるリポジトリのみが表示されます。 たとえば、 [1 クリティカル] の場合、Dependabot のクリティカル アラートがあるリポジトリが表示されます。
- リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
- 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。
-
必要に応じて、左側のサイドバーを使って、特定のセキュリティ機能のアラートを詳しく調べます。 各ページでは、その機能固有のフィルターを使用して、検索を調整できます。 使用可能な修飾子の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。
Note
概要ビュー ([概要]、[カバレッジ] および [リスク]) には、信頼度の高いアラートのデータのみが表示されます。 サード パーティ製ツールからの Secret scanning アラート、プロバイダー以外のアラートは、すべてこれらのビューから省略されます。 そのため、個々のアラート ビューには、開いているアラートと閉じられたアラートの数が多い場合があります。
エンタープライズレベルのコード セキュリティ リスクの表示
エンタープライズ内のすべての組織のセキュリティ アラートのデータを表示できます。 セキュリティの概要で示される情報は、リポジトリと Organization へのアクセス権、および GitHub Advanced Security がそれらのリポジトリと Organization によって使われているかどうかによって異なります。 詳しくは、「セキュリティの概要について」を参照してください。
Tip
検索フィールドで owner
フィルターを使って、データを organization ごとにフィルター処理できます。 マネージド ユーザーを含む Enterprise の所有者である場合は、owner-type
フィルターを使用して、データをリポジトリ所有者の種類ごとにフィルター処理し、organization 所有のリポジトリまたはユーザー所有のリポジトリのデータを表示できます。 詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。
-
GitHub Enterprise Cloud に移動します。
-
GitHub の右上の自分のプロフィール写真をクリックし、[自分の Enterprise] をクリックします。
-
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
-
ページの左側にある Enterprise アカウント サイドバーで、 コード セキュリティ をクリックします。
-
[セキュリティ カバレッジ] ビューを表示するには、サイドバーの [リスク] をクリックします。
-
ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。
- [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。
- 何らかの機能に対してヘッダーの [<数字> 影響を受ける] または [<数字> 影響を受けない] をクリックすると、その種類の開いているアラートがあるリポジトリ、または開いているアラートがないリポジトリのみが表示されます。
- ヘッダーの [アラートを開く] の説明をクリックすると、その種類とカテゴリのアラートがあるリポジトリのみが表示されます。 たとえば、 [1 クリティカル] の場合、Dependabot のクリティカル アラートがあるリポジトリが表示されます。
- リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
- 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。
Note
概要ビュー ([概要]、[カバレッジ] および [リスク]) には、信頼度の高いアラートのデータのみが表示されます。 サード パーティ製ツールからの Secret scanning アラート、プロバイダー以外のアラートは、すべてこれらのビューから省略されます。 そのため、個々のアラート ビューには、開いているアラートと閉じられたアラートの数が多い場合があります。