セキュリティ機能の導入を評価する

セキュリティの概要を使うと、どのリポジトリやチームが各セキュリティ機能を既に有効にしているか、また、これらの機能の導入をさらに奨励する必要があるリポジトリやチームを確認できます。

Organization の [Security] タブにある [Security coverage] ビューのヘッダーセクションのスクリーンショット。

メモ

"pull request アラート" は、リポジトリに対してアラートが有効になってから、code scanning が少なくとも 1 つの pull request を分析した場合にのみ有効として報告されます。

Organization のセキュリティ機能の有効化を表示する

Organization 内のリポジトリ全体で安全なコーディングのための機能の有効化を評価するデータを表示できます。

GitHub で、organization のメインページに移動します。
Organization 名の下にある [ Security] をクリックします。
[セキュリティカバレッジ] ビューを表示するには、サイドバーの [カバレッジ] をクリックします。
ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。フィルター処理について詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。
- [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。詳しくは、「Organization のリポジトリに対するチームのアクセスを管理する」をご覧ください。
- 機能のヘッダーの [NUMBER enabled] または [NUMBER not enabled] をクリックすると、その機能が有効または無効になっているリポジトリのみが表示されます。
- リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
- 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。

Enterprise での安全なコーディング機能の有効化を表示する

Enterprise 内のすべての organization についてセキュリティ機能の有効化を評価するデータを表示できます。

GitHub Enterprise Cloud に移動します。
GitHub の右上隅にあるプロフィール画像をクリックします。
環境に応じて、[ エンタープライズ] をクリックするか、[ エンタープライズ ] をクリックして、表示するエンタープライズをクリックします。 1. ページの上部にある [Security] をクリックします。
[セキュリティカバレッジ] ビューを表示するには、サイドバーの [カバレッジ] をクリックします。
ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。フィルター処理について詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。
- [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。詳しくは、「Organization のリポジトリに対するチームのアクセスを管理する」をご覧ください。
- 機能のヘッダーの [NUMBER enabled] または [NUMBER not enabled] をクリックすると、その機能が有効または無効になっているリポジトリのみが表示されます。
- リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
- 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。
ヒント

検索フィールドで owner フィルターを使って、データを organization ごとにフィルター処理できます。詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。

組織の有効化傾向の確認

Organization のセキュリティ機能の有効化状態と有効化状態の傾向を評価するデータを表示できます。

GitHub で、organization のメインページに移動します。
Organization 名の下にある [ Security] をクリックします。
サイドバーの「メトリクス」で、「イネーブルメントトレンド」 をクリックします。
[Dependabot]、[Code scanning]、または [Secret scanning] のいずれかのタブをクリックすると、有効化傾向と、その機能が有効になっているリポジトリの割合が組織内に表示されます。このデータは、グラフと詳細テーブルとして表示されます。
必要に応じて、[有効化傾向] ビューページの上部にあるオプションを使用して、有効化傾向を表示するリポジトリのグループをフィルター処理します。
- 日付ピッカーを使用して、有効化傾向を表示する時間範囲を設定します。
- 検索ボックスをクリックして、表示される有効化傾向にさらにフィルターを追加します。適用できるフィルターは、[概要] ダッシュボードビューのフィルターと同じです。詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。

企業における導入傾向の表示

Enterprise 内のすべての organization についてセキュリティ機能の有効化状態と有効化状態の傾向を評価するデータを表示できます。

GitHub Enterprise Cloud に移動します。
GitHub の右上隅にあるプロフィール画像をクリックします。
環境に応じて、[ エンタープライズ] をクリックするか、[ エンタープライズ ] をクリックして、表示するエンタープライズをクリックします。 1. ページの上部にある [Security] をクリックします。
[有効化傾向] ビューを表示するには、サイドバーの [有効化傾向] をクリックします。
[Dependabot]、[Code scanning]、または [Secret scanning] のいずれかのタブをクリックすると、Enterprise 内の Organization 全体で、その機能が有効になっているリポジトリの割合や有効化傾向を表示できます。このデータは、グラフと詳細テーブルとして表示されます。
必要に応じて、[有効化傾向] ビューページの上部にあるオプションを使用して、有効化傾向を表示するリポジトリのグループをフィルター処理します。
- 日付ピッカーを使用して、有効化傾向を表示する時間範囲を設定します。
- 検索ボックスをクリックして、表示される有効化傾向にさらにフィルターを追加します。詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。

ヒント

検索フィールドで owner: フィルターを使って、データを organization ごとにフィルター処理できます。詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。

有効化データに基づく処理

有効化の対象範囲を確認したら、次のアクションを検討します。

セキュリティ機能の使用を制限する過度に制限の厳しいポリシーが企業によって構成されているかどうかを確認します。「エンタープライズのコードセキュリティと分析のためのポリシーの適用」を参照してください。
すべてのリポジトリで有効にする必要がある機能を有効にします。 Organization 全体での機能の有効化については、「組織でのセキュリティ機能の構成」をご覧ください。

たとえば、シークレットスキャンニングアラートとプッシュ保護によりリポジトリにどのような情報が保存されているかに関係なく、セキュリティリークのリスクが軽減されます。これらの機能をまだ使っていないリポジトリを見つけた場合は、それらを有効にするか、リポジトリを所有するチームと有効化の計画について話し合うことをお勧めします。
その他の機能については、その機能をより多くのリポジトリで有効にする必要があるかどうかを検討してください。たとえば、サポートされていないエコシステムまたは言語のみを使うリポジトリに対して Dependabot を有効にしても意味がありません。そのため、これらの機能が有効ではないリポジトリがあるのは通常のことです。

次のステップ

[セキュリティカバレッジ] ページに表示されているデータの CSV ファイルをダウンロードできます。このデータファイルは、セキュリティ調査や詳細なデータ分析などの作業に使用でき、外部データセットと簡単に統合できます。「セキュリティの概要からデータをエクスポート」を参照してください。

[有効化の傾向] ビューを使用すると、Dependabot、code scanning、または secret scanning の有効化状態と有効化傾向をリポジトリまたは Organization 全体で確認できます。「組織の有効化傾向の表示」または「企業の有効化傾向の表示」を参照してください。