コード内のセキュリティ リスクの調査
** Security ** タブのさまざまなビューを使用して、コード内のセキュリティ リスクを調べることができます。
- 概要: セキュリティ アラートの検出、修復、防止の傾向を調べるのに使用します。
- リスク: すべてのアラートの種類にわたって、リポジトリの現在の状態を調べるのに使用します。
- 評価: シークレット リークの具体的なリポジトリの現在の状態を調べるのに使用します
- **結果:**code scanning、 Dependabot、または secret scanning アラートをより詳細に調査するために使用します。
これらのビューには、以下を行うためのデータとフィルターが用意されています。
- すべてのリポジトリに格納されているコードのセキュリティ リスクの状況を評価します。
- 対処する最も影響の大きい脆弱性を特定
- 潜在的な脆弱性の修復の進行状況を監視します。
- 組織がシークレット情報の漏洩や公開にどのような影響を受けるかを理解します。
[Overview] については、「セキュリティの分析情報の表示」を参照してください。
Organization レベルのセキュリティ リスクをコードで表示する
-
GitHub で、organization のメイン ページに移動します。
-
組織名の下の [ Security ] タブをクリックします。
-
[Security risk] ビューを表示するには、サイドバーの [Risk] をクリックします。
-
ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理について詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。
- [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。
- 何らかの機能に対してヘッダーの [<数字> 影響を受ける] または [<数字> 影響を受けない] をクリックすると、その種類の開いているアラートがあるリポジトリ、または開いているアラートがないリポジトリのみが表示されます。
- ヘッダーの [アラートを開く] の説明をクリックすると、その種類とカテゴリのアラートがあるリポジトリのみが表示されます。 たとえば、 [1 クリティカル]、Dependabot のクリティカル アラートがあるリポジトリが表示されます。
- リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
- 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。
![Organization の [セキュリティ リスク] ビューのスクリーンショット。 フィルター処理のオプションが、濃いオレンジ色の枠線で囲まれています。](/assets/cb-85068/images/help/security-overview/security-risk-view-highlights.png)
メモ
The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.
-
必要に応じて、左側のサイドバーを使って、特定のセキュリティ機能のアラートを詳しく調べます。 各ページでは、その機能固有のフィルターを使用して、検索を調整できます。
![Organization の [セキュリティ リスク] ビューのスクリーンショット。 フィルター処理のオプションが、濃いオレンジ色の枠線で囲まれています。](/assets/cb-85068/mw-1440/images/help/security-overview/security-risk-view-highlights.webp)
メモ
概要ビュー ([Overview (概要)]、[Coverage (カバレッジ)]、[Risk (リスク)]) には、既定のアラートに対応するデータのみが表示されます。 Secret scanning 無視されたディレクトリおよびプロバイダー以外のアラートはすべて、これらのビューから省略されます。 そのため、個々のアラート ビューには、開いているアラートと閉じられたアラートの数が多い場合があります。
コードの Enterprise レベルのセキュリティ リスクを表示する
エンタープライズ内のすべての組織のセキュリティ アラートのデータを表示できます。
ヒント
検索フィールドで owner フィルターを使って、データを organization ごとにフィルター処理できます。 詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。
-
GitHub Enterprise Server の右上隅にあるプロフィール画像をクリックしてから、[Enterprise settings] をクリックします。
-
ページの上部にある [ Security] タブをクリックします。
-
「セキュリティリスク」ビューを表示するには、サイドバーの 「リスク クリックします。
-
ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理について詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。
- [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。
- 何らかの機能に対してヘッダーの [<数字> 影響を受ける] または [<数字> 影響を受けない] をクリックすると、その種類の開いているアラートがあるリポジトリ、または開いているアラートがないリポジトリのみが表示されます。
- ヘッダーの [アラートを開く] の説明をクリックすると、その種類とカテゴリのアラートがあるリポジトリのみが表示されます。 たとえば、 [1 クリティカル]、Dependabot のクリティカル アラートがあるリポジトリが表示されます。
- リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
- 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。
![エンタープライズの [セキュリティ リスク] ビューのスクリーンショット。 フィルター処理のオプションが、濃いオレンジ色の枠線で囲まれています。](/assets/cb-101874/images/help/security-overview/security-risk-view-highlights-enterprise.png)
メモ
The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.
-
必要に応じて、左側のサイドバーを使って、特定のセキュリティ機能のアラートを詳しく調べます。 各ページでは、その機能固有のフィルターを使用して、検索を調整できます。
![エンタープライズの [セキュリティ リスク] ビューのスクリーンショット。 フィルター処理のオプションが、濃いオレンジ色の枠線で囲まれています。](/assets/cb-101874/mw-1440/images/help/security-overview/security-risk-view-highlights-enterprise.webp)
メモ
概要ビュー ([Overview (概要)]、[Coverage (カバレッジ)]、[Risk (リスク)]) には、既定のアラートに対応するデータのみが表示されます。 Secret scanning 無視されたディレクトリおよびプロバイダー以外のアラートはすべて、これらのビューから省略されます。 そのため、個々のアラート ビューには、開いているアラートと閉じられたアラートの数が多い場合があります。