Organization のシークレット リスク評価レポートの表示

[Security] タブから、organization の secret risk assessment レポートを生成して表示できます。

この機能を使用できるユーザーについて

Organization の所有者とセキュリティ マネージャー

Secret risk assessment は、GitHub Team と GitHub Enterprise の organization で、無料で使用できます。

この記事の内容

GitHub は、漏洩したシークレットへの organization の露出を評価するために organization の所有者とセキュリティ マネージャーが生成できるシークレット リスク評価レポートを提供します。 secret risk assessmentは、organization 内のコードのオンデマンドのポイントインタイム スキャンです。

  • Organization 内で漏洩したシークレットを表示します
  • Organization 外に漏洩したシークレットの種類を表示します
  • 修復のための実用的な分析情報を提供します レポートの詳細については、「シークレット リスク評価について」を参照してください。

Organization の secret risk assessment レポートを生成し、確認して、結果を CSV にエクスポートできます。

最初の secret risk assessment の生成

  1. GitHub で、organization のメイン ページに移動します。

  2. Organization 名の下にある [ Security] をクリックします。

    組織の水平ナビゲーション バーのスクリーンショット。 盾のアイコンと [セキュリティ] というラベルのタブが、濃いオレンジ色の枠線で囲まれています。

  3. サイドバーの [Security] で、[ Assessments] をクリックします。 1. secret risk assessmentを生成するには、[Scan your organization] をクリックします。

Organization の所有者がメール通知をオプトインした場合、GitHub から、レポートを表示する準備ができたことを通知するメールが送られてきます。

Organization の secret risk assessment レポートは正常に生成されましたか?

はい いいえ

secret risk assessment の再実行

ヒント

レポートは 90 日に 1 回のみ生成できます。 継続的なシークレットの監視と防止のために、GitHub Secret Protection を実装することをお勧めします。 「GitHub Secret Protection の選択」をご覧ください。

  1. GitHub で、organization のメイン ページに移動します。

  2. Organization 名の下にある [ Security] をクリックします。

    組織の水平ナビゲーション バーのスクリーンショット。 盾のアイコンと [セキュリティ] というラベルのタブが、濃いオレンジ色の枠線で囲まれています。

  3. サイドバーの [Security] で、[ Assessments] をクリックします。

  4. 既存のレポートの右上にある をクリックします。

  5. [Rerun scan] を選びます。

    Organization の所有者がメール通知をオプトインした場合、GitHub から、レポートを表示する準備ができたことを通知するメールが送られてきます。

secret risk assessment の表示

  1. GitHub で、organization のメイン ページに移動します。

  2. Organization 名の下にある [ Security] をクリックします。

    組織の水平ナビゲーション バーのスクリーンショット。 盾のアイコンと [セキュリティ] というラベルのタブが、濃いオレンジ色の枠線で囲まれています。

  3. サイドバーの [Security] で、[ Assessments] をクリックします。 このページでは、最新のレポートを見ることができます。

CSV への secret risk assessment のエクスポート

  1. GitHub で、organization のメイン ページに移動します。

  2. Organization 名の下にある [ Security] をクリックします。

    組織の水平ナビゲーション バーのスクリーンショット。 盾のアイコンと [セキュリティ] というラベルのタブが、濃いオレンジ色の枠線で囲まれています。

  3. サイドバーの [Security] で、[ Assessments] をクリックします。

  4. レポートの右上にある をクリックします。

  5. [Download CSV] を選びます。

secret risk assessment の CSV ファイルには、次の情報が含まれています。

CSV 列Name説明
AOrganization Nameシークレットが検出された organization の名前
BNameシークレットの種類のトークン名
CSlugトークンの正規化された文字列。 これは、サポートされているシークレットのテーブル内の Token に対応します。 「サポートされているシークレット スキャン パターン」を参照してください。
DPush Protectedプッシュ保護が有効になっていた場合、それによってシークレットが検出およびブロックされたかどうかを示す boolean
ENon-Provider Patternプロバイダー以外のパターンで secret scanning が有効になっていた場合、シークレットがプロバイダー以外のパターンと一致してアラートを生成したかどうかを示す boolean
FSecret Countそのトークンの種類で検出されたアクティブおよび非アクティブなシークレットの集計数
GRepository Countそのシークレットの種類が見つかった個別のリポジトリ (パブリック、プライベート、内部、アーカイブの各リポジトリを含む) の集計数

次のステップ

Organization の secret risk assessment を生成したので、結果を解釈する方法を学んでください。 「シークレット リスク評価結果の解釈」をご覧ください。