コード内のセキュリティ リスクの調査
[セキュリティ] タブのさまざまなビューを使用して、コード内のセキュリティ リスクを調べることができます。
-
**概要:** セキュリティ アラートの**検出**、**修復**、**防止**の傾向を調べるのに使用します。 -
**リスク:** すべてのアラートの種類について、リポジトリの現在の状態を調べるために使います。 -
**評価:** 特にシークレットの漏洩について、リポジトリの現在の状態を調べるために使います -
**アラート ビュー:** code scanning、Dependabot、または secret scanning アラートを詳しく調べるのに使用します。
これらのビューには、以下を行うためのデータとフィルターが用意されています。
-
すべてのリポジトリに格納されているコードのセキュリティ リスクの状況を評価します。
-
対処する最も影響の大きい脆弱性を特定
-
潜在的な脆弱性の修復の進行状況を監視します。
-
シークレットの漏洩と露出によって organization がどのような影響を受けるかを理解します。
-
詳細な分析とレポートのために、現在選択されているデータをエクスポートします。
**[Overview]** については、「[AUTOTITLE](/code-security/security-overview/viewing-security-insights)」を参照してください。
Organization レベルのセキュリティ リスクをコードで表示する
-
GitHub で、organization のメイン ページに移動します。1. Organization 名の下にある [ Security] をクリックします。
1. [Security risk] ビューを表示するには、サイドバーの [Risk] をクリックします。1. ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理について詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。![組織の水平ナビゲーション バーのスクリーンショット。 盾のアイコンと [セキュリティ] というラベルのタブが、濃いオレンジ色の枠線で囲まれています。](/assets/cb-22170/images/help/organizations/organization-security-tab.png)
- [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。
- 何らかの機能に対してヘッダーの [<数字> 影響を受ける] または [<数字> 影響を受けない] をクリックすると、その種類の開いているアラートがあるリポジトリ、または開いているアラートがないリポジトリのみが表示されます。
- ヘッダーの [アラートを開く] の説明をクリックすると、その種類とカテゴリのアラートがあるリポジトリのみが表示されます。 たとえば、 [1 クリティカル] の場合、Dependabot のクリティカル アラートがあるリポジトリが表示されます。
- リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
- 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。
![Organization の [セキュリティ リスク] ビューのスクリーンショット。 フィルター処理のオプションが、濃いオレンジ色の枠線で囲まれています。](/assets/cb-85068/images/help/security-overview/security-risk-view-highlights.png)
メモ
The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.
-
必要に応じて、左側のサイドバーを使って、特定のセキュリティ機能のアラートを詳しく調べます。 各ページでは、その機能固有のフィルターを使用して、検索を調整できます。
-
必要に応じて、 [Export CSV] ボタンを使って、セキュリティ調査や詳細なデータ分析のために、現在のページに表示されているデータを CSV ファイルとしてダウンロードします。 詳しくは、「セキュリティの概要からデータをエクスポート」をご覧ください。
![組織の水平ナビゲーション バーのスクリーンショット。 盾のアイコンと [セキュリティ] というラベルのタブが、濃いオレンジ色の枠線で囲まれています。](/assets/cb-22170/mw-1440/images/help/organizations/organization-security-tab.webp)
![Organization の [セキュリティ リスク] ビューのスクリーンショット。 フィルター処理のオプションが、濃いオレンジ色の枠線で囲まれています。](/assets/cb-85068/mw-1440/images/help/security-overview/security-risk-view-highlights.webp)
メモ
概要ビュー ([Overview]、[Coverage]、[Risk]) には、既定のアラートのデータのみが表示されます。 無視されたディレクトリに関する Secret scanning アラートとプロバイダー以外のアラートは、これらのビューからすべて除外されます。 そのため、個々のアラート ビューには、開いているアラートと閉じられたアラートの数が多い場合があります。
コードの Enterprise レベルのセキュリティ リスクを表示する
エンタープライズ内のすべての組織のセキュリティ アラートのデータを表示できます。
ヒント
検索フィールドで owner フィルターを使って、データを organization ごとにフィルター処理できます。 マネージド ユーザーを含む Enterprise の所有者である場合は、owner-type フィルターを使用して、データをリポジトリ所有者の種類ごとにフィルター処理し、organization 所有のリポジトリまたはユーザー所有のリポジトリのデータを表示できます。 詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。
-
GitHub Enterprise Cloud に移動します。
-
GitHub の右上隅にあるプロフィール画像をクリックします。
-
環境に応じて、[ エンタープライズ] をクリックするか、[ エンタープライズ ] をクリックして、表示するエンタープライズをクリックします。 1. ページの上部にある [Security] をクリックします。
-
[Security risk] ビューを表示するには、サイドバーの [Risk] をクリックします。
-
ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理について詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。
- [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。
- 何らかの機能に対してヘッダーの [<数字> 影響を受ける] または [<数字> 影響を受けない] をクリックすると、その種類の開いているアラートがあるリポジトリ、または開いているアラートがないリポジトリのみが表示されます。
- ヘッダーの [アラートを開く] の説明をクリックすると、その種類とカテゴリのアラートがあるリポジトリのみが表示されます。 たとえば、 [1 クリティカル] の場合、Dependabot のクリティカル アラートがあるリポジトリが表示されます。
- リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
- 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。
![エンタープライズの [セキュリティ リスク] ビューのスクリーンショット。 フィルター処理のオプションが、濃いオレンジ色の枠線で囲まれています。](/assets/cb-101874/images/help/security-overview/security-risk-view-highlights-enterprise.png)
メモ
The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.
-
必要に応じて、左側のサイドバーを使って、特定のセキュリティ機能のアラートを詳しく調べます。 各ページでは、その機能固有のフィルターを使用して、検索を調整できます。
-
必要に応じて、 [Export CSV] ボタンを使って、セキュリティ調査や詳細なデータ分析のために、現在のページに表示されているデータを CSV ファイルとしてダウンロードします。 詳しくは、「セキュリティの概要からデータをエクスポート」をご覧ください。
![エンタープライズの [セキュリティ リスク] ビューのスクリーンショット。 フィルター処理のオプションが、濃いオレンジ色の枠線で囲まれています。](/assets/cb-101874/mw-1440/images/help/security-overview/security-risk-view-highlights-enterprise.webp)
メモ
概要ビュー ([Overview]、[Coverage]、[Risk]) には、既定のアラートのデータのみが表示されます。 無視されたディレクトリに関する Secret scanning アラートとプロバイダー以外のアラートは、これらのビューからすべて除外されます。 そのため、個々のアラート ビューには、開いているアラートと閉じられたアラートの数が多い場合があります。
次のステップ
セキュリティ リスクを評価したら、開発者と協力してアラートを修復するセキュリティ キャンペーンを作成する準備は完了です。 セキュリティ アラートの大規模な修正については、「セキュリティ キャンペーンの作成と管理」と「大規模なアラートを修正するためのセキュリティ キャンペーンの実行」をご覧ください。