セキュリティの概要について

organization または Enterprise の全体的なセキュリティ環境に関する分析情報を取得し、セキュリティの概要を使用して、介入が必要なリポジトリを特定できます。

この機能を使用できるユーザーについて

セキュリティの概要は、GitHub Team または GitHub Enterprise によって所有されていて、Secret risk assessment を実行しているすべての organization で使用できます。

追加のビューを Enterprise とその organization で使用できます。

無料のシークレット リスク評価を実行する方法を確認する

この記事の内容

セキュリティの概要には、セキュリティ アラートの検出、修復、防止の傾向を調べ、コードベースの現在の状態を詳しく調べることができるフォーカス ビューが含まれています。

GitHub Enterprise のすべての organization は、次のものを使用できます。

  •           Organization の露出によるシークレットの漏洩を評価するための **Secret risk assessment** については、「[AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/viewing-the-secret-risk-assessment-report-for-your-organization)」をご覧ください。

  •           すべてのリポジトリでのサプライ チェーンのセキュリティを評価するための **Dependabot** のデータ。

さらに、code scanning や secret scanning などの Advanced Security 機能のデータが、GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security を使う organization および Enterprise と、パブリック リポジトリに対して示されます。「Dependabot アラートについて」と「GitHub Advanced Security について」をご覧ください。

ビューについて

メモ

すべてのビューには、organization または enterprise で表示するアクセス許可を持っているリポジトリの 既定 のブランチの情報とメトリックが表示されます。

このビューは、集計されたデータを詳細に確認し、高リスクのソースを特定し、セキュリティの傾向を確認し、コードに入るセキュリティの脆弱性をブロックすることに対する pull request 分析の影響を確認できるフィルターのある対話型です。 複数のフィルターを適用してより狭い対象領域に絞り込むと、現在の選択内容を反映してビュー全体のデータとメトリックが変更されます。 詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。

Organization または Enterprise のセキュリティの概要のいくつかのページから、データを含むコンマ区切り値 (CSV) ファイルをダウンロードできます。 これらのファイルは、セキュリティ調査や詳細なデータ分析などの作業に使用でき、外部データセットと簡単に統合できます。 詳細については、「セキュリティの概要からのデータをエクスポート」をご覧ください。

セキュリティ アラートの種類ごとに専用のビューがあります。 分析を特定のアラート セットに制限し、各ビューに固有のフィルターの範囲で結果をさらに絞り込むことができます。 たとえば、secret scanning アラート ビューでは、[シークレットの種類] フィルターを使って、GitHub personal access token など、特定のシークレットの シークレット スキャンニング アラート のみを表示できます。

メモ

セキュリティの概要に、セキュリティ機能によって発生したアクティブなアラートが表示されます。 リポジトリのセキュリティの概要にアラートが表示されない場合は、検出されなかったセキュリティの脆弱性またはコード エラーがまだ存在するか、そのリポジトリに対して機能が有効になっていない可能性があります。

組織のセキュリティの概要について

会社のアプリケーション セキュリティ チームでは、さまざまなビューを使って、組織のセキュリティの状態を幅広く分析することも、限定的に分析することもできます。 たとえば、チームは [概要] ダッシュボード ビューを使って、organization のセキュリティ状況と進行状況を追跡できます。

セキュリティの概要は、すべての organization の [セキュリティ] タブにあります。 各ビューには、自身がアクセスできるデータの概要が表示されます。 フィルターを追加すると、ビュー全体のすべてのデータとメトリックが、選択したリポジトリまたはアラートを反映するように変更されます。

セキュリティの概要には複数のビューがあり、さまざまな方法で有効化とアラートのデータを調べることができます。

  •         **概要:** セキュリティ アラートの**検出**、**修復**、**予防**の傾向を視覚化します。「[AUTOTITLE](/code-security/security-overview/viewing-security-insights)」を参照してください。

  •         **リスクとアラートのビュー:** すべての種類のセキュリティ アラートからのリスクを調査するか、単一のアラートの種類に焦点を当てて、特定の脆弱な依存関係、コードの弱点、または漏洩したシークレットからのリスクを明らかにします。「[AUTOTITLE](/code-security/security-overview/assessing-code-security-risk)」をご覧ください。

  •         **カバレッジ:** organization 内のリポジトリ全体でセキュリティ機能の導入を評価します。「[AUTOTITLE](/code-security/security-overview/assessing-adoption-code-security)」をご覧ください。

  •         **評価:** Advanced Security 機能の有効化状態に関係なく、GitHub Team および GitHub Enterprise の organization は、organization 内のコードに漏えいしたシークレットがないかスキャンするための無料レポートを実行できます。「[AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/about-secret-risk-assessment)」を参照してください。

  •         **Campaigns:** 対象となる修復作業を調整および測定し、リポジトリ間で関連するセキュリティ タスクをグループ化し、所有者を割り当て、定義されたリスク削減目標に向けた進行状況を追跡します。

  •         **有効化の傾向:** さまざまなチームがセキュリティ機能をどれだけ早く導入しているかを確認します。

  •         **CodeQL pull request アラート:** pull request での CodeQL 実行の影響と、開発チームがコード スキャン アラートを解決する方法を評価するには、「[AUTOTITLE](/code-security/security-overview/viewing-metrics-for-pull-request-alerts)」を参照してください。**Dependabot ダッシュボード**: リポジトリ全体のセキュリティの改善を識別、修正、測定することで、重大な脆弱性を優先順位付けして追跡します。

  •         **Secret scanning の分析情報:** プッシュ保護によって禁止されているシークレットの種類  と、プッシュ保護をバイパスしているチーム

を確認するには、「シークレット スキャン プッシュ保護のメトリックを表示する」 と「プッシュ保護をバイパスする要求の確認」 を参照してください。

また、セキュリティの概要からアラートを修復するためのセキュリティ キャンペーンを作成および管理します。「セキュリティ キャンペーンの作成と管理」と「セキュリティ アラートの大規模な修正に関するベスト プラクティス」をご覧ください。

エンタープライズのセキュリティの概要について

セキュリティの概要は、Enterprise の [セキュリティ] タブにあります。 それぞれのページには、エンタープライズについての集計された、リポジトリ固有のセキュリティ情報が表示されます。

Organization のセキュリティの概要と同様に、Enterprise のセキュリティの概要には複数のビューがあり、さまざまな方法でデータを調べることができます。

セキュリティの概要でのデータへのアクセス

セキュリティの概要に表示される内容は、組織または企業の役割とアクセス許可によって異なります。

一般的には次のとおりです。

  •         **組織の所有者とセキュリティ マネージャーは、** 組織内のすべてのリポジトリのセキュリティ データを表示できます。

  •         **組織のメンバー** は、セキュリティ アラートにアクセスできるリポジトリのデータのみを表示できます。

  •         **エンタープライズ所有者** は、組織の所有者またはセキュリティ マネージャーである組織のエンタープライズ レベルのセキュリティの概要で、集計されたセキュリティ データを表示できます。 リポジトリ レベルの詳細を表示するには、組織内の適切なロールが必要です。

セキュリティの概要には、表示するアクセス許可を持つリポジトリのデータのみが表示されます。また、一部のビューまたはアクションはロールに基づいて制限される場合があります。

使用可能なビューやリポジトリ アクセスが可視性に与える影響など、ロールごとのアクセス許可の詳細については、 Security overview permissions を参照してください。

詳細については、次を参照してください。

  •         [AUTOTITLE](/code-security/getting-started/securing-your-repository)

  •         [AUTOTITLE](/code-security/adopting-github-advanced-security-at-scale/introduction-to-adopting-github-advanced-security-at-scale)