Skip to main content
ドキュメントへの更新が頻繁に発行されており、このページの翻訳はまだ行われている場合があります。 最新の情報については、「英語のドキュメント」を参照してください。
All products
コードセキュリティ

セキュリティの概要について

この記事の内容

セキュリティの概要ページでは、組織またはチームが所有しているリポジトリのセキュリティ アラートの表示、フィルター処理、並べ替えを行うことができます。

この機能を使用できるユーザー

組織所有者とセキュリティ マネージャーは、組織レベルのセキュリティの概要にアクセスできます。また、エンタープライズレベルのセキュリティの概要を介して複数の組織にまたがるアラートを表示できます。 エンタープライズ所有者は、自身が組織所有者またはセキュリティ マネージャーとして追加されている組織のリポジトリとアラートのみを表示できます。 組織メンバーは、組織レベルのセキュリティの概要にアクセスして、自身が管理者特権を持つ、またはセキュリティ アラートへのアクセス権が付与されているリポジトリの結果を表示できます。

すべての組織とエンタープライズにセキュリティの概要があります。 パブリック リポジトリでは無料である GitHub Advanced Security 機能を使っている場合は、追加情報が表示されます。 詳しくは、「GitHub Advanced Security について」を参照してください。

セキュリティの概要について

セキュリティの概要には、組織またはエンタープライズのセキュリティ状態の大まかな概要が表示され、介入を必要とする問題のあるリポジトリを簡単に特定できます。 また、セキュリティの概要を使って特定のセキュリティ機能を有効にしているリポジトリを確認したり、現在使われていない使用可能なセキュリティ機能を構成したりすることもできます。

セキュリティの概要には、リポジトリに対してどのセキュリティ機能が有効になっているかが表示され、各機能のアラートを統合できます。

  • Dependabot の機能とアラートに関するリスクとカバレッジの情報は、すべてのリポジトリに対して表示されます。

詳しくは、「Dependabot アラートについて」、「シークレット スキャンについて」、「GitHub Advanced Security について」をご覧ください。

アラートのフィルター処理と並べ替えについて

セキュリティの概要は、リポジトリのグループに関するセキュリティを把握するための強力な方法を提供します。 そのビューは対話型であり、フィルターを使って集計データを詳しく調べ、高いリスクや低い機能カバレッジのソースを特定できます。 複数のフィルターを適用してより狭い対象領域に絞り込むと、選択内容を反映してビュー全体のデータが変更されます。 詳しくは、「セキュリティの概要でのアラートのフィルター処理」を参照してください。

また、セキュリティ アラートの種類ごとに専用のビューもあります。これを使うと、分析対象を特定のアラート セットに制限してから、各ビューに固有のさまざまなフィルターを使って結果をさらに絞り込むことができます。 たとえば、secret scanning アラート ビューでは、Secret type フィルターを使って、GitHub personal access token など、特定のシークレットの シークレット スキャン アラート のみを表示できます。

注: セキュリティの概要には、セキュリティ機能によって発生したアクティブなアラートが表示されます。 リポジトリに対してセキュリティの概要でアラートがない場合でも、検出されていないセキュリティ脆弱性やコードのエラーは存在するかもしれません。

Organization レベルのセキュリティの概要について

メモ: [セキュリティ リスク] ビューと [セキュリティの対象範囲] ビューは現在、ベータ版であり、変更される場合があります。

セキュリティの概要は、エンタープライズが所有するすべての組織の [Security] タブにあります。 各ビューには、ドリルダウンできる集計データが表示されます。各フィルターを追加すると、選択したリポジトリやアラートを反映するようにデータが更新されます。

会社のアプリケーション セキュリティ チームでは、さまざまなビューを使って、組織のセキュリティの状態を幅広く分析することも、限定的に分析することもできます。 たとえば、GitHub Advanced Security をロールアウトするときに、チームで [Security Coverage] (セキュリティ カバレッジ) ページを使って組織全体または特定のチームによる機能の導入を監視したり、[セキュリティ リスク] ページを使ってオープンになっている シークレット スキャン アラート が 5 個を超えているリポジトリを特定したりできます。

組織の所有者と組織のセキュリティ マネージャーは、自分の組織に関するセキュリティの概要にアクセスできます。 組織メンバーは、組織レベルのセキュリティの概要にアクセスして、自身が管理特権を持つ、またはセキュリティ アラートへのアクセス権が付与されているリポジトリの結果を表示することもできます。 セキュリティ アラート アクセスの管理について詳しくは、「リポジトリのセキュリティと分析設定を管理する」をご覧ください。

[Security Risk] ビュー

このビューには、さまざまな種類のセキュリティ アラートによって影響を受けるリポジトリに関するデータが表示されます。

  • [Teams] ドロップダウン メニューを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。
  • 何らかの種類のアラートに対してヘッダーの [NUMBER affected] または [NUMBER unaffected] をクリックすると、その種類のアラートがあるリポジトリのみか、その種類のアラートがないリポジトリのみが表示されます。
  • ヘッダーの [アラートを開く] の説明をクリックすると、その種類とカテゴリのアラートがあるリポジトリのみが表示されます。 たとえば、 [1 クリティカル] の場合、Dependabot のクリティカル アラートがあるリポジトリが表示されます。
  • [NUMBER Archived] をクリックすると、アーカイブされているリポジトリのみが表示されます。
  • 検索ボックス内をクリックすると、使用可能なフィルターがすべて一覧表示されます。

Organization の [セキュリティ] タブの [セキュリティ リスク] ビューのスクリーンショット。 ビューで使用できる情報とフィルター オプションについて説明します。

[Security Coverage] ビュー

このビューには、Organization のリポジトリで使用されるセキュリティ機能に関するデータが表示されます。 リンク、ドロップダウン メニュー、検索フィールドを使用してビューを絞り込み、興味のあるリポジトリを表示できます。

  • [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。
  • 機能のヘッダーの [NUMBER enabled] または [NUMBER not enabled] をクリックすると、その機能が有効または無効になっているリポジトリのみが表示されます。
  • [NUMBER Archived] をクリックすると、アーカイブされているリポジトリのみが表示されます。
  • 検索ボックス内をクリックすると、使用可能なフィルターがすべて一覧表示されます。

さらに、リポジトリの [ セキュリティ設定] をクリックするとことで、ワンクリックが設定されているセキュリティ機能を有効にできます。

Organization の [セキュリティ] タブの [セキュリティ カバレッジ] ビューのスクリーンショット。 ビューで使用できる情報とフィルター オプションについて説明します。

Enterprise レベルのセキュリティの概要について

セキュリティの概要は、エンタープライズの [Code Security] タブにあります。 それぞれの概要には、エンタープライズについての集計された、リポジトリ固有のセキュリティ情報が表示されます。 Enterprise が所有する、セキュリティ アラートがあるリポジトリを表示したり、すべてのセキュリティ アラートを表示したり、Enterprise 全体のセキュリティ機能固有のアラートを表示したりできます。

エンタープライズ所有者は、自身が所有者またはセキュリティ マネージャーである組織のアラートを表示できます。エンタープライズ所有者は、組織の所有者として組織に参加し、エンタープライズレベルのセキュリティの概要でそのすべてのアラートを表示できます。 詳細については、「Enterprise によって所有される Organization のロールを管理する」を参照してください。

エンタープライズにおける組織の所有者と組織のセキュリティ マネージャーは、エンタープライズレベルのセキュリティの概要にアクセスできます。 フル アクセス権が付与されている組織のリポジトリとアラートを表示できます。

参考資料