安全なコーディング機能の導入について
セキュリティの概要を使うと、どのリポジトリやチームが各セキュリティ機能を既に有効にしているか、また、これらの機能の導入をさらに奨励する必要があるリポジトリやチームを確認できます。 [セキュリティ カバレッジ] ビューには、Organization での機能の有効化に関する概要と詳細情報が表示されます。 [有効] と [有効ではない] のリンク、[チーム] ドロップダウン メニュー、ページ ヘッダーの検索フィールドを使って、リポジトリのサブセットを表示するようにビューをフィルター処理できます。
![Organizationの [Security] タブにある [Security coverage] ビューのヘッダー セクションのスクリーンショット。](/assets/cb-101506/mw-1440/images/help/security-overview/security-coverage-view-summary-pre-config.webp)
Note
"pull request アラート" は、リポジトリに対してアラートが有効になってから、code scanning が少なくとも 1 つの pull request を分析した場合にのみ有効として報告されます。
Organization のセキュリティ機能の有効化を表示する
Organization 内のリポジトリ全体で安全なコーディングのための機能の有効化を評価するデータを表示できます。
-
GitHub で、organization のメイン ページに移動します。
-
組織名の下で、 [ セキュリティ] をクリックします。
![組織の水平ナビゲーション バーのスクリーンショット。 盾のアイコンと [セキュリティ] というラベルのタブが、濃いオレンジ色の枠線で囲まれています。](/assets/cb-22170/images/help/organizations/organization-security-tab.png)
-
[セキュリティ カバレッジ] ビューを表示するには、サイドバーの [カバレッジ] をクリックします。
-
ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理について詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。
- [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。 詳しくは、「Organization のリポジトリに対するチームのアクセスを管理する」をご覧ください。
- 機能のヘッダーの [NUMBER enabled] または [NUMBER not enabled] をクリックすると、その機能が有効または無効になっているリポジトリのみが表示されます。
- リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
- 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。
-
必要に応じて、[ Security settings] をクリックしてリポジトリのセキュリティ機能を有効にし、[Save security settings] をクリックして変更を確認します。 機能が表示されない場合は、より複雑な構成要件があるため、リポジトリ設定ダイアログを使う必要があります。 詳しくは、「リポジトリを保護するためのクイック スタート」をご覧ください。
-
必要に応じて、現在の検索に一致するリポジトリの一部またはすべてを選んで、テーブル ヘッダーの [セキュリティ設定] をクリックすると、サイド パネルが表示され、選んだリポジトリのセキュリティ機能を有効にできます。 終わったら、 [変更の適用] をクリックして変更を確定します。 詳しくは、「複数のリポジトリでセキュリティ機能を有効にする」をご覧ください。
![組織の水平ナビゲーション バーのスクリーンショット。 盾のアイコンと [セキュリティ] というラベルのタブが、濃いオレンジ色の枠線で囲まれています。](/assets/cb-22170/mw-1440/images/help/organizations/organization-security-tab.webp)
Note
- code scanning の既定のセットアップを有効にしても、選択されたリポジトリの高度なセットアップの既存の構成は オーバーライドされません が、既定のセットアップの既存の構成は オーバーライドされます 。
- secret scanning の "アラート" を有効にすると、信頼度の高いアラートが有効になります。 プロバイダー以外のアラートを有効にする場合は、リポジトリ、組織、またはエンタープライズ設定を編集する必要があります。 アラートの種類の詳細については、サポートされているシークレットに関する記事を参照してください。
リポジトリの一覧で、[Dependabot] の下の [一時停止] ラベルは、Dependabot updates が一時停止されているリポジトリを示します。 非アクティブ状態の条件については、セキュリティに関しては「Dependabot のセキュリティ アップデート」を、バージョンの更新に関しては「GitHub Dependabot のバージョンアップデートについて」をそれぞれご覧ください。
Enterprise での安全なコーディング機能の有効化を表示する
Enterprise 内のすべての organization についてセキュリティ機能の有効化を評価するデータを表示できます。
Enterprise レベルのビューでは、機能の有効化に関するデータを表示することはできますが、機能を有効または無効にすることはできません。
-
の右上で、ご自分のプロフィール フォトをクリックしてから、 [Enterprise 設定] をクリックします。
1. ページの左側にある Enterprise アカウント サイドバーの [Code Security] をクリックします。![GitHub Enterprise Server でプロフィール写真をクリックすると表示されるドロップダウン メニューのスクリーンショット。 [Enterprise settings] オプションが枠線で囲まれています。](/assets/cb-34162/images/enterprise/settings/enterprise-settings.png)
-
[セキュリティ カバレッジ] ビューを表示するには、サイドバーの [カバレッジ] をクリックします。
-
ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理について詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。
-
[Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。 詳しくは、「Organization のリポジトリに対するチームのアクセスを管理する」をご覧ください。
-
機能のヘッダーの [NUMBER enabled] または [NUMBER not enabled] をクリックすると、その機能が有効または無効になっているリポジトリのみが表示されます。
-
リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
-
検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。
Tip
検索フィールドで
ownerフィルターを使って、データを organization ごとにフィルター処理できます。 詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。 -
![GitHub Enterprise Server でプロフィール写真をクリックすると表示されるドロップダウン メニューのスクリーンショット。 [Enterprise settings] オプションが枠線で囲まれています。](/assets/cb-34162/mw-1440/images/enterprise/settings/enterprise-settings.webp)
有効化データの解釈と操作
セキュリティ機能には、すべてのリポジトリで有効にできるものと、推奨されるものがあります。 たとえば、シークレット スキャンニング アラート とプッシュ保護によりリポジトリにどのような情報が保存されているかに関係なく、セキュリティ リークのリスクが軽減されます。 これらの機能をまだ使っていないリポジトリを見つけた場合は、それらを有効にするか、リポジトリを所有するチームと有効化の計画について話し合うことをお勧めします。 Organization 全体での機能の有効化については、「組織のセキュリティおよび分析設定を管理する」をご覧ください。
その他の機能は、すべてのリポジトリでの使用に適しているわけではありません。 たとえば、サポートされていないエコシステムまたは言語のみを使用するリポジトリに対して Dependabot または code scanning を有効にしても意味がありません。 そのため、これらの機能が有効ではないリポジトリがあるのは通常のことです。
また、Enterprise では、一部のセキュリティ機能の使用を制限するポリシーを構成している可能性があります。 詳しくは、「エンタープライズのコード セキュリティと分析のためのポリシーの適用」をご覧ください。