コード セキュリティ リスク評価結果の解釈

          code security risk assessmentの結果を理解し、脆弱性の修復に優先順位を付けます。

この機能を使用できるユーザーについて

Organization の所有者とセキュリティ マネージャー

この記事で

はじめに

このチュートリアルでは、 code security risk assessment の結果を解釈し、次の方法を学習します。

  • ダッシュボードのリスク メトリックを理解する
  • 最も影響を受けるリポジトリと言語を特定する
  • 修復の脆弱性に優先順位を付ける

前提条件

          code security risk assessmentレポートを生成し、スキャンが完了するまで待つ必要があります。 「[AUTOTITLE](/code-security/how-tos/secure-at-scale/configure-organization-security/configure-specific-tools/assess-your-vulnerability-risk)」を参照してください。

手順 1: ダッシュボードのメトリックを理解する

評価が完了したら、ダッシュボードの上部にある主要なメトリックを確認します。

  •         **スキャンされたリポジトリの合計数**: 選択したリポジトリから正常にスキャンされたリポジトリの数。

  •         **検出された脆弱性の合計数**: スキャンされたすべてのリポジトリで検出された脆弱性の合計数。

  •         **Copilot自動修正**: Copilot自動修正の対象となる脆弱性の数。 
        GitHub Code Securityを有効にすると、Copilot自動修正にアクセスできます。これにより、これらのアラートの修正が自動的に提案されます。

手順 2: 脆弱性を言語別に確認する

          **言語別の脆弱性**グラフを見て、コードベースのどの言語が全体的な脆弱性の数に最も寄与しているかがわかります。

脆弱性が特定の言語に集中している場合、次の可能性があります。

  • 一般的な弱点を導入する、使用中の特定のフレームワークまたはパターン
  • 対象となるセキュリティで保護されたコーディング ガイダンスの恩恵を受ける可能性がある、その言語で作業するチーム

手順 3: 最も影響を受けるリポジトリを特定する

          **[Repositories scanned**]\(リポジトリスキャン\) テーブルでは、スキャンされた各リポジトリと、検出された脆弱性の合計のうち、Copilot自動修正の対象となる脆弱性の比率を確認できます。

ページの上部にある 最も脆弱なリポジトリ メトリックでは、脆弱性の数が最も多いリポジトリが強調表示されます。 これは、修復の優先順位を付けるときに開始するのに適した場所です。

高い 割合 のリポジトリに脆弱性が含まれている場合は、次を示している可能性があります。

  • チーム間のセキュリティで保護されたコーディングプラクティスにおける広範なギャップ
  • 組織全体でのツールやガードレールの必要性code scanning

脆弱性が含まれるリポジトリが 少数は、特定のチームまたはコードベースに修復作業を集中できます。

手順 4: 検出されたルールを確認する

          **ルール**検出テーブルまでスクロールすると、次のようなルール別の脆弱性の内訳が表示されます。

* ルール: セキュリティの問題の特定のクラスが検出されました * ルールの重大度: 重大度レベル (重大、高、中、低) * 個別のリポジトリ: この規則違反を含む異なるリポジトリの数 * 脆弱性が見つかりました: すべてのリポジトリに対するこの規則違反の合計数

この表は、既定で脆弱性の数で並べ替え、最も一般的な問題を特定するのに役立ちます。 複数のリポジトリに表示される 重大度が重大 または 高の ルールには特に注意してください。これらは最大のリスクを表します。

手順 5: 修復に優先順位を付ける

メトリックを理解したら、リスクに基づいて修復に優先順位を付けます。

最も優先度の高い脆弱性は 、複数のリポジトリに表示される重大で重大度の高いルールです。これは、次のような理由で発生します。

  • 悪用された場合の最大の潜在的な影響を表す
  • チームが現在積極的に取り組んでいるコードに存在する

次に、リスクが低い、または修復に多くの労力が必要な脆弱性に対処します。

  •         **重大度に関する中低の問題**。リスクは引き続き発生する可能性がありますが、すぐには重要度が低くなります。

  •         **1 つのリポジトリにのみ表示されるルール**。これは、より多くの包含公開を表します

また、個々の修正を超えて広範な介入が必要になる可能性がある次のインジケーターも探します。

  •         **同じルールの影響を受ける多くのリポジトリ**: チームトレーニングまたは更新されたコーディング標準を必要とする可能性のある全身パターンを提案します

  •         **特定の言語での脆弱性の数が多い**: フレームワーク レベルの問題や、その言語のスキャン ツールの不足を示している可能性があります

次のステップ

          Copilot自動修正で脆弱性の修復を開始するには、組織のGitHub Code Securityを有効にします。 次の 2 つのオプションがあります。
  • 個々のリポジトリの GitHub Code Security を有効にするには、[Repositories scanned] テーブルのリポジトリの横にある [有効] をクリックします。
  • 組織全体でGitHub Code Securityを有効にするには、ページの上部にある [Code Securityを有効にする] をクリックします。 ここでは、すべてのリポジトリまたは選択したリポジトリに対して有効にするかどうかを選択し、確認する前に推定コストを確認できます。