コードのセキュリティ リスクを評価する

コード内のセキュリティ リスクの調査

          **
          <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security
          ** タブのさまざまなビューを使用して、コード内のセキュリティ リスクを調べることができます。

* 概要: セキュリティ アラートの検出、修復、防止の傾向を調べるのに使用します。 * リスク: すべてのアラートの種類にわたって、リポジトリの現在の状態を調べるのに使用します。 * 評価: シークレット リークの具体的なリポジトリの現在の状態を調べるのに使用します * code scanning、Dependabot、またはsecret scanningアラートをより詳細に調べるのに使用します。

これらのビューには、以下を行うためのデータとフィルターが用意されています。

• すべてのリポジトリに格納されているコードのセキュリティ リスクの状況を評価します。

• 対処する最も影響の大きい脆弱性を特定

• 潜在的な脆弱性の修復の進行状況を監視します。

• 組織がシークレット情報の漏洩や公開にどのような影響を受けるかを理解します。

          **[Overview]** については、「[AUTOTITLE](/code-security/security-overview/viewing-security-insights)」を参照してください。
  

Organization レベルのセキュリティ リスクをコードで表示する

1. GitHub で、organization のメイン ページに移動します。

2. Organization 名の下にある [ Security] をクリックします。

   

3. [Security risk] ビューを表示するには、サイドバーの [Risk] をクリックします。

4. ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理について詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。

   • [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。
   • 何らかの機能に対してヘッダーの [<数字> 影響を受ける] または [<数字> 影響を受けない] をクリックすると、その種類の開いているアラートがあるリポジトリ、または開いているアラートがないリポジトリのみが表示されます。
   • ヘッダーの [アラートを開く] の説明をクリックすると、その種類とカテゴリのアラートがあるリポジトリのみが表示されます。 たとえば、 [1 クリティカル]、Dependabot のクリティカル アラートがあるリポジトリが表示されます。
   • リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
   • 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。
   

   メモ

   The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

          1. 必要に応じて、左側のサイドバーを使って、特定のセキュリティ機能のアラートを詳しく調べます。 各ページでは、その機能固有のフィルターを使用して、検索を調整できます。
          
   

コードの Enterprise レベルのセキュリティ リスクを表示する

エンタープライズ内のすべての組織のセキュリティ アラートのデータを表示できます。

1. GitHub Enterprise Server の右上隅にあるプロフィール画像をクリックしてから、[Enterprise settings] をクリックします。

2. ページの上部にある [Security] をクリックします。

3. 「セキュリティリスク」ビューを表示するには、サイドバーの 「リスク クリックします。

4. ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理について詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。

   • [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。
   • 何らかの機能に対してヘッダーの [<数字> 影響を受ける] または [<数字> 影響を受けない] をクリックすると、その種類の開いているアラートがあるリポジトリ、または開いているアラートがないリポジトリのみが表示されます。
   • ヘッダーの [アラートを開く] の説明をクリックすると、その種類とカテゴリのアラートがあるリポジトリのみが表示されます。 たとえば、 [1 クリティカル]、Dependabot のクリティカル アラートがあるリポジトリが表示されます。
   • リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
   • 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。
   

   メモ

   The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

5. 必要に応じて、左側のサイドバーを使って、特定のセキュリティ機能のアラートを詳しく調べます。 各ページでは、その機能固有のフィルターを使用して、検索を調整できます。