セキュリティの概要には、セキュリティ アラートの検出、修復、防止の傾向を調べ、コードベースの現在の状態を詳しく調べることができるフォーカス ビューが含まれています。
GitHub Enterprise のすべての organization は、次のものを使用できます。
- Organization の露出によるシークレットの漏洩を評価するための Secret risk assessment。「Organization のシークレット リスク評価レポートの表示」をご覧ください。
- すべてのリポジトリでのサプライ チェーンのセキュリティを評価するための Dependabot のデータ。
さらに、code scanning や secret scanning などの Advanced Security 機能のデータが、GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security を使う organization および Enterprise と、パブリック リポジトリに対して示されます。「Dependabot アラートについて」と「GitHub Advanced Security について」をご覧ください。
ビューについて
Note
すべてのビューには、組織または企業で表示するアクセス許可を持っているリポジトリの 既定 のブランチの情報とメトリックが表示されます。
このビューは、集計されたデータを詳細に確認し、高リスクのソースを特定し、セキュリティの傾向を確認し、コードに入るセキュリティの脆弱性をブロックすることに対する pull request 分析の影響を確認できるフィルターのある対話型です。 複数のフィルターを適用してより狭い対象領域に絞り込むと、現在の選択内容を反映してビュー全体のデータとメトリックが変更されます。 詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。
Organization または Enterprise のセキュリティの概要のいくつかのページから、データを含むコンマ区切り値 (CSV) ファイルをダウンロードできます。 これらのファイルは、セキュリティ調査や詳細なデータ分析などの作業に使用でき、外部データセットと簡単に統合できます。詳しくは、「セキュリティの概要からのデータをエクスポート」をご覧ください。
セキュリティ アラートの種類ごとに専用のビューがあります。 分析を特定の種類のアラートに制限し、各ビューに固有のフィルターの範囲で結果をさらに絞り込むことができます。 たとえば、secret scanning アラート ビューでは、[シークレットの種類] フィルターを使って、GitHub personal access token など、特定のシークレットの シークレット スキャンニング アラート のみを表示できます。
Note
セキュリティの概要に、セキュリティ機能によって発生したアクティブなアラートが表示されます。 リポジトリのセキュリティの概要にアラートが表示されない場合は、検出されなかったセキュリティの脆弱性またはコード エラーがまだ存在するか、そのリポジトリに対して機能が有効になっていない可能性があります。
組織のセキュリティの概要について
会社のアプリケーション セキュリティ チームでは、さまざまなビューを使って、組織のセキュリティの状態を幅広く分析することも、限定的に分析することもできます。 たとえば、チームは [Overview] ダッシュボード ビューを使って、organization のセキュリティ状況と進行状況を追跡できます。
セキュリティの概要は、すべての組織の [セキュリティ] タブにあります。 各ビューには、自身がアクセスできるデータの概要が表示されます。 フィルターを追加すると、ビュー全体のすべてのデータとメトリックが、選択したリポジトリまたはアラートを反映するように変更されます。 アクセス許可については、「セキュリティの概要でデータを表示するためのアクセス許可」をご覧ください。
セキュリティの概要には複数のビューがあり、さまざまな方法で有効化とアラートのデータを調べることができます。
- Overview: セキュリティ アラートの検出、修復、予防の傾向を視覚化します。「セキュリティの分析情報の表示」を参照してください。
- リスクとアラートのビュー: すべての種類のセキュリティ アラートからのリスクを調査するか、単一のアラートの種類に焦点を当てて、特定の脆弱な依存関係、コードの弱点、または漏洩したシークレットからのリスクを明らかにします。「コードのセキュリティ リスクを評価する」をご覧ください。
- カバレッジ: organization 内のリポジトリ全体でセキュリティ機能の導入を評価します。「セキュリティ機能の導入を評価する」をご覧ください。
- Assessments: Advanced Security 機能が有効かどうかに関係なく、GitHub Team と GitHub Enterprise の organization は、organization 内のコードをスキャンして機密情報の漏えいの有無を示す無料レポートを実行できます。「シークレット リスク評価について」を参照してください。
- Enablement trends: さまざまなチームがセキュリティ機能をどれだけ早く導入しているかを確認します。
- CodeQL pull request アラート: pull request に対する CodeQL の実行の影響と、開発チームによるコード スキャン アラートの解決状況を評価します。「pull request アラートのメトリックの表示」をご覧ください。
- シークレット スキャン: プッシュ保護によってブロックされているシークレットの種類と、プッシュ保護をバイパスしているチームを明らかにします。「シークレット スキャン プッシュ保護のメトリックを表示する」と「プッシュ保護をバイパスする要求の確認」をご覧ください。
また、セキュリティの概要からアラートを修復するためのセキュリティ キャンペーンを作成および管理します。「Creating and managing security campaigns」と「セキュリティ アラートの大規模な修正に関するベスト プラクティス」をご覧ください。
エンタープライズのセキュリティの概要について
セキュリティの概要は、Enterprise の [Security] タブで見ることができます。 それぞれのページには、エンタープライズについての集計された、リポジトリ固有のセキュリティ情報が表示されます。
組織のセキュリティの概要と同様に、エンタープライズのセキュリティの概要には複数のビューがあり、さまざまな方法でデータを調べることができます。
アクセス許可については、「セキュリティの概要でデータを表示するためのアクセス許可」をご覧ください。
セキュリティの概要でデータを表示するためのアクセス許可
組織レベルの概要
組織の 所有者またはセキュリティ マネージャー である場合は、すべてのビューで組織内のすべてのリポジトリのデータを表示できます。
組織またはチームのメンバー である場合は、組織のセキュリティの概要を表示し、適切なレベルのアクセス権を持つリポジトリのデータを確認できます。
Tip
下記の表に示されていない評価ビューは、organization 所有者とセキュリティ マネージャーのみが使用できます。
| 次を持つ組織またはチームのメンバー | 概要ダッシュボード ビュー | リスク ビューとアラート ビュー | カバレッジ ビュー |
|---|---|---|---|
1 つ以上のリポジトリへの admin アクセス権 | それらのリポジトリのデータを表示する | それらのリポジトリのデータを表示する | それらのリポジトリ |
1 つ以上のリポジトリへの write アクセス権 | それらのリポジトリの code scanning データと Dependabot データを表示する | それらのリポジトリの code scanning データと Dependabot データを表示する | アクセス権なし |
read または triage1 つ以上のリポジトリへのアクセス権 | アクセス権なし | アクセス権なし | アクセス権なし |
| 1 つ以上のリポジトリへのセキュリティ アラート アクセス | それらのリポジトリのすべてのセキュリティ アラート データを表示する | それらのリポジトリのすべてのセキュリティ アラート データを表示する | アクセス権なし |
| 1 つ以上の種類のセキュリティ アラートを表示するアクセス許可を持つカスタム組織ロール | すべてのリポジトリの許可されたアラート データを表示する | すべてのビューですべてのリポジトリの許可されたアラート データを表示する | アクセス権なし |
Note
組織メンバーに対して一貫性のある応答性の高いエクスペリエンスを確保するために、組織レベルのセキュリティ概要ページには、最近更新された 3,000 個のリポジトリからの結果のみが表示されます。 結果が制限されている場合は、ページの上部に通知が表示されます。 組織の所有者とセキュリティ マネージャーには、すべてのリポジトリからの結果を確認できます。
セキュリティ アラートと関連ビューへのアクセスについて詳しくは、「