コードのセキュリティ リスクを評価する

セキュリティの概要を使って、セキュリティ アラートの影響を受けるチームとリポジトリを確認し、緊急の修復アクションが必要なリポジトリを特定することができます。

この機能を使用できるユーザーについて

アクセスには以下が必要です。

  • 組織ビュー: 組織内のリポジトリへの書き込みアクセス
  • エンタープライズ ビュー: 組織の所有者とセキュリティ マネージャー

GitHub Secret Protection or GitHub Code Security を使用する GitHub Team アカウントによって所有されている、または GitHub Enterprise アカウントによって所有されている organization

この記事で

コード内のセキュリティ リスクの調査

          **
          <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality
          ** タブのさまざまなビューを使用して、コード内のセキュリティ リスクを調べることができます。

* 概要: セキュリティ アラートの検出修復防止の傾向を調べるのに使用します。 * リスク: すべてのアラートの種類にわたって、リポジトリの現在の状態を調べるのに使用します。 * 評価: シークレット リークの具体的なリポジトリの現在の状態を調べるのに使用します * code scanning、Dependabot、またはsecret scanningアラートをより詳細に調べるのに使用します。

これらのビューには、以下を行うためのデータとフィルターが用意されています。

  • すべてのリポジトリに格納されているコードのセキュリティ リスクの状況を評価します。

  • 対処する最も影響の大きい脆弱性を特定

  • 潜在的な脆弱性の修復の進行状況を監視します。

  • 組織がシークレット情報の漏洩や公開にどのような影響を受けるかを理解します。

  • 詳細な分析とレポートのために、現在選択されているデータをエクスポートします。

            **[Overview]** については、「[AUTOTITLE](/code-security/security-overview/viewing-security-insights)」を参照してください。

Organization レベルのセキュリティ リスクをコードで表示する

  1. GitHub で、organization のメイン ページに移動します。

  2. 組織名の下の [ Security and quality ] タブをクリックします。

  3. [Security risk] ビューを表示するには、サイドバーの [Risk] をクリックします。

  4. ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理について詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。

    • [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。
    • 何らかの機能に対してヘッダーの [<数字> 影響を受ける] または [<数字> 影響を受けない] をクリックすると、その種類の開いているアラートがあるリポジトリ、または開いているアラートがないリポジトリのみが表示されます。
    • ヘッダーの [アラートを開く] の説明をクリックすると、その種類とカテゴリのアラートがあるリポジトリのみが表示されます。 たとえば、 [1 クリティカル]、Dependabot のクリティカル アラートがあるリポジトリが表示されます。
    • リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
    • 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。

    Organization の [セキュリティ リスク] ビューのスクリーンショット。 フィルター処理のオプションが、濃いオレンジ色の枠線で囲まれています。

    メモ

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

           1. 必要に応じて、左側のサイドバーを使って、特定のセキュリティ機能のアラートを詳しく調べます。 各ページでは、その機能固有のフィルターを使用して、検索を調整できます。

  5. 必要に応じて、[ CSV のエクスポート ] ボタンを使用して、セキュリティ調査と詳細なデータ分析のために、現在ページに表示されているデータの CSV ファイルをダウンロードします。 詳しくは、「セキュリティの概要からデータをエクスポート」をご覧ください。

メモ

概要ビュー ([Overview]、[Coverage]、[Risk]) には、既定のアラートのデータのみが表示されます。 無視されたディレクトリに関する Secret scanning アラートとプロバイダー以外のアラートは、これらのビューからすべて除外されます。 そのため、個々のアラート ビューには、開いているアラートと閉じられたアラートの数が多い場合があります。

コードの Enterprise レベルのセキュリティ リスクを表示する

エンタープライズ内のすべての組織のセキュリティ アラートのデータを表示できます。

ヒント

検索フィールドで owner フィルターを使って、データを organization ごとにフィルター処理できます。 詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。

  1. GitHub Enterprise Cloud に移動します。

  2. GitHub の右上隅にあるプロフィール画像をクリックします。

  3. 環境に応じて、[ エンタープライズ] をクリックするか、[ エンタープライズ ] をクリックして、表示するエンタープライズをクリックします。

  4.        ページの上部にある [**<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality**] タブをクリックします。

  5. 「セキュリティリスク」ビューを表示するには、サイドバーの 「リスク クリックします。

  6. ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理について詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。

    • [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。
    • 何らかの機能に対してヘッダーの [<数字> 影響を受ける] または [<数字> 影響を受けない] をクリックすると、その種類の開いているアラートがあるリポジトリ、または開いているアラートがないリポジトリのみが表示されます。
    • ヘッダーの [アラートを開く] の説明をクリックすると、その種類とカテゴリのアラートがあるリポジトリのみが表示されます。 たとえば、 [1 クリティカル]、Dependabot のクリティカル アラートがあるリポジトリが表示されます。
    • リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
    • 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。

    エンタープライズの [セキュリティ リスク] ビューのスクリーンショット。 フィルター処理のオプションが、濃いオレンジ色の枠線で囲まれています。

    メモ

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  7. 必要に応じて、左側のサイドバーを使って、特定のセキュリティ機能のアラートを詳しく調べます。 各ページでは、その機能固有のフィルターを使用して、検索を調整できます。

  8. 必要に応じて、 Export CSV ボタンを使用して、セキュリティ調査と詳細なデータ分析のためにページに現在表示されているデータの CSV ファイルをダウンロードします。 詳しくは、「セキュリティの概要からデータをエクスポート」をご覧ください。

メモ

概要ビュー ([Overview]、[Coverage]、[Risk]) には、既定のアラートのデータのみが表示されます。 無視されたディレクトリに関する Secret scanning アラートとプロバイダー以外のアラートは、これらのビューからすべて除外されます。 そのため、個々のアラート ビューには、開いているアラートと閉じられたアラートの数が多い場合があります。

次のステップ

セキュリティ リスクを評価したら、開発者と協力してアラートを修復するセキュリティ キャンペーンを作成する準備は完了です。 セキュリティ アラートの大規模な修正については、「セキュリティ キャンペーンの作成と管理」と「大規模なアラートを修正するためのセキュリティ キャンペーンの実行」をご覧ください。