Thanks to visit codestin.com
Credit goes to docs.github.com

セキュリティの概要について

organization または Enterprise の全体的なセキュリティ環境に関する分析情報を取得し、セキュリティの概要を使用して、介入が必要なリポジトリを特定できます。

この機能を使用できるユーザーについて

セキュリティの概要は、GitHub Team または GitHub Enterprise によって所有されていて、Secret risk assessment を実行しているすべての organization で使用できます。

追加のビューを

  • GitHub Team を使用する GitHub Secret Protection or GitHub Code Security アカウントによって所有される organization
  • GitHub Enterprise アカウントによって所有される organization

セキュリティ リスク評価を実行する

この記事で

セキュリティの概要は、organization のリポジトリに格納されているコードのセキュリティに関する分析情報を提供します。

          **
          GitHub Teamは、無料の**secret risk assessment** を使用して、漏洩したシークレットへの組織の露出を評価できます。[AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/viewing-the-secret-risk-assessment-report-for-your-organization) を参照してください。
  • GitHub Team ** GitHub Secret Protection or GitHub Code Security **購入したアカウントは、追加の分析情報を使用してビューにアクセスできます。

以下の情報では、セキュリティ アラートの検出、修復、防止の傾向を特定し、リポジトリの現在の状態を詳しく調べるために使用できる GitHub Secret Protection or GitHub Code Security を持つ組織が利用できるビューについて説明します。

ビューについて

メモ

すべてのビューには、organization または enterprise で表示するアクセス許可を持っているリポジトリの 既定 のブランチの情報とメトリックが表示されます。

このビューは、集計されたデータを詳細に確認し、高リスクのソースを特定し、セキュリティの傾向を確認し、コードに入るセキュリティの脆弱性をブロックすることに対する pull request 分析の影響を確認できるフィルターのある対話型です。 複数のフィルターを適用してより狭い対象領域に絞り込むと、現在の選択内容を反映してビュー全体のデータとメトリックが変更されます。 詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。

          Organization または Enterprise のセキュリティの概要のいくつかのページから、データを含むコンマ区切り値 (CSV) ファイルをダウンロードできます。 これらのファイルは、セキュリティ調査や詳細なデータ分析などの作業に使用でき、外部データセットと簡単に統合できます。 詳細については、 [AUTOTITLE を](/code-security/security-overview/exporting-data-from-security-overview)参照してください。

セキュリティ アラートの種類ごとに専用のビューがあります。 分析を特定のアラート セットに制限し、各ビューに固有のフィルターの範囲で結果をさらに絞り込むことができます。 たとえば、secret scanning ビューでは、"シークレットの種類" フィルターを使用して、特定のシークレット (シークレット スキャンニング アラートGitHubなど) のpersonal access tokenのみを表示できます。

メモ

セキュリティの概要に、セキュリティ機能によって発生したアクティブなアラートが表示されます。 リポジトリのセキュリティの概要にアラートが表示されない場合は、検出されなかったセキュリティの脆弱性またはコード エラーがまだ存在するか、そのリポジトリに対して機能が有効になっていない可能性があります。

組織のセキュリティの概要について

会社のアプリケーション セキュリティ チームでは、さまざまなビューを使って、組織のセキュリティの状態を幅広く分析することも、限定的に分析することもできます。 たとえば、チームは [概要] ダッシュボード ビューを使って、organization のセキュリティ状況と進行状況を追跡できます。

セキュリティの概要は、任意の組織の [ Security and quality ] タブで確認できます。 各ビューには、自身がアクセスできるデータの概要が表示されます。 フィルターを追加すると、ビュー全体のすべてのデータとメトリックが、選択したリポジトリまたはアラートを反映するように変更されます。

セキュリティの概要には複数のビューがあり、さまざまな方法で有効化とアラートのデータを調べることができます。

  • 概要: セキュリティ アラートの 検出修復防止 の傾向を視覚化します。 ダッシュボードへのアクセスと使用の詳細については、 セキュリティの分析情報の表示 を参照してください。 メトリックと計算の詳細については、 セキュリティの概要ダッシュボードのメトリック を参照してください。
  • リスク: すべての種類のセキュリティ アラートからのリスクを調べるか、単一のアラートの種類に焦点を当て、特定の脆弱な依存関係、コードの弱点、または漏洩したシークレットからのリスクを特定します。 コードのセキュリティ リスクを評価する を参照してください。
  • カバレッジ: 組織内のリポジトリ間でのセキュリティ機能の導入を評価します。 セキュリティ機能の導入を評価する を参照してください。
  • **評価:**Advanced Security 機能の有効化状態に関係なく、 GitHub Team および GitHub Enterprise の組織は無料のレポートを実行して、組織内のコードで漏洩したシークレットをスキャンできます。 GitHubを使用したシークレット セキュリティについて を参照してください。
  • キャンペーン: 対象となる修復作業を調整および測定し、関連するセキュリティ タスクをリポジトリ間でグループ化し、所有者を割り当て、定義されたリスク削減目標に向けた進行状況を追跡します。
  • 有効化: さまざまなチームがセキュリティ機能を採用する速度を確認します。
  • プルリクエスト: プルリクエストに対するの実行による影響と、開発チームがアラートをどのように解決しているかを評価する方法については、AUTOTITLEを参照してください。
          Dependabot
          **: リポジトリ全体のセキュリティの向上を特定、修復、測定することで、重大な脆弱性に優先順位を付け、追跡します。

          Secret scanning:** プッシュ保護によってブロックされているシークレットの種類とどのチームがプッシュ保護をバイパスしているか[AUTOTITLE](/code-security/security-overview/viewing-metrics-for-secret-scanning-push-protection) および [AUTOTITLE](/code-security/security-overview/reviewing-requests-to-bypass-push-protection) を参照してください。

セキュリティの概要からアラートを修復するためのセキュリティ キャンペーンも作成および管理します。 セキュリティ キャンペーンの作成と管理大規模なアラートを修正するためのセキュリティ キャンペーンの実行 を参照してください。

エンタープライズのセキュリティの概要について

セキュリティの概要は、企業の [ Security and quality ] タブで確認できます。 それぞれのページには、エンタープライズについての集計された、リポジトリ固有のセキュリティ情報が表示されます。

企業のセキュリティの概要には、アラートの傾向を視覚化する概要ダッシュボードなど、データを探索するさまざまな方法を提供する複数のビューがあります。 ダッシュボードの詳細については、「 セキュリティの分析情報の表示 」と 「AUTOTITLE」を参照してください。

セキュリティの概要でのデータへのアクセス

セキュリティの概要に表示される内容は、組織または企業の役割とアクセス許可によって異なります。

一般的には次のとおりです。

  • 組織の所有者とセキュリティ マネージャーは、 組織内のすべてのリポジトリのセキュリティ データを表示できます。
  • 組織のメンバー は、セキュリティ アラートにアクセスできるリポジトリのデータのみを表示できます。
  • エンタープライズ所有者 は、組織の所有者またはセキュリティ マネージャーである組織のエンタープライズ レベルのセキュリティの概要で、集計されたセキュリティ データを表示できます。 リポジトリ レベルの詳細を表示するには、組織内の適切なロールが必要です。

セキュリティの概要には、表示するアクセス許可を持つリポジトリのデータのみが表示されます。また、一部のビューまたはアクションはロールに基づいて制限される場合があります。

使用可能なビューやリポジトリ アクセスが可視性に与える影響など、ロールごとのアクセス許可の詳細については、 セキュリティ概要における権限 を参照してください。

ダッシュボード データの精度について

概要ダッシュボードには、リポジトリの現在の状態とセキュリティ アラートの履歴状態に基づいてメトリックが表示されます。 このデータ モデルは、データの整合性に重要な影響を与えます。

          **時間の経過と伴うデータの変化:** ダッシュボードメトリックは、異なる時間に表示された場合に同じ履歴期間に変更される可能性があります。 これは、リポジトリが削除されたとき、セキュリティ アドバイザリが変更されたとき、またはその他の変更が基になるデータに影響を与える場合に発生します。 コンプライアンス レポートまたは監査目的で一貫性のあるデータが必要な場合は、代わりに監査ログを使用してください。 「[AUTOTITLE](/code-security/getting-started/auditing-security-alerts)」を参照してください。

          **アラート データは履歴です。リポジトリ属性は最新です。** ダッシュボードは、選択した期間中の過去の状態に基づいてセキュリティ アラートを追跡します。 ただし、リポジトリ フィルター (アーカイブ済み/アクティブ状態など) には、リポジトリの _現在の状態_ が反映されます。

たとえば、今日リポジトリをアーカイブすると、そのリポジトリ内の開いているアラートはすべて自動的に閉じられます。 その後、先週の概要ダッシュボードを表示する場合:

  • リポジトリは、アーカイブされたリポジトリ (現在の状態) を表示するようにフィルター処理した場合にのみ表示されます。
  • そのリポジトリからのアラートは、オープンとして表示されます (先週の状態)

この設計により、分析中の期間中のセキュリティ アクティビティがアラートの傾向に正確に反映されますが、リポジトリ フィルターは現在のリポジトリ構造に集中するのに役立ちます。

詳細については、次を参照してください。