注: 現在、[セキュリティ リスク] ビューと [セキュリティの対象範囲] ビューはベータ版であり、変更される場合があります。
コード セキュリティ機能の採用について
セキュリティの概要を使うと、どのリポジトリとチームが各コード セキュリティ機能を既に有効にしているか、どこのユーザーがこれらの機能の採用をさらに奨励する必要があるかを確認できます。 [セキュリティ カバレッジ] ビューには、Organization での機能の有効化に関する概要と詳細情報が表示されます。 [有効] と [有効ではない] のリンク、[チーム] ドロップダウン メニュー、ページ ヘッダーの検索フィールドを使って、リポジトリのサブセットを表示するようにビューをフィルター処理できます。
注: "pull request アラート" は、リポジトリに対してアラートが有効になってから、code scanning が少なくとも 1 つの pull request を分析した場合にのみ有効として報告されます。
Organization のコード セキュリティ機能の有効化の表示
Enterprise 内のすべての Organization についてのコード セキュリティ機能の有効化を評価するためのデータを表示できます。 セキュリティの概要で示される情報は、リポジトリへのアクセス権、および GitHub Advanced Security がそれらのリポジトリによって使われているかどうかによって異なります。 詳しくは、「セキュリティの概要について」を参照してください。
-
お使いの GitHub Enterprise Server インスタンス で、Organization のメイン ページへ移動します。
-
組織名の下で、 [ セキュリティ] をクリックします。
-
[セキュリティ カバレッジ] ビューを表示するには、サイドバーの [カバレッジ] をクリックします。
-
ページの概要のオプションを使って、評価するリポジトリを表示するように結果をフィルター処理します。 ページに表示されるリポジトリとメトリックの一覧は、現在の選択に合わせて自動更新されます。 フィルター処理の詳細については、「セキュリティの概要でアラートをフィルター処理する」を参照してください。
- [Teams] ドロップダウンを使用し、1 チームまたは複数のチームが所有するリポジトリの情報のみを表示します。 詳しくは、「Organization のリポジトリに対するチームのアクセスを管理する」を参照してください。
- 機能のヘッダーの [NUMBER enabled] または [NUMBER not enabled] をクリックすると、その機能が有効または無効になっているリポジトリのみが表示されます。
- リポジトリの一覧の上部にある [アーカイブされた番号] をクリックして、アーカイブされたリポジトリのみを表示します。
- 検索ボックス内をクリックすると、表示されているリポジトリにさらにフィルターを追加できます。
-
必要に応じて、 [セキュリティ設定] をクリックしてリポジトリのコード セキュリティ機能を有効にし、 [セキュリティ設定の保存] をクリックして変更を確認します。 機能が表示されない場合は、より複雑な構成要件があるため、リポジトリ設定ダイアログを使う必要があります。 詳しくは、「リポジトリを保護するためのクイック スタート」を参照してください。
有効化データの解釈と操作
一部のコード セキュリティ機能は、すべてのリポジトリで有効にすることができます (また、推奨されます)。 たとえば、シークレット スキャンニング アラート とプッシュ保護によりリポジトリにどのような情報が保存されているかに関係なく、セキュリティ リークのリスクが軽減されます。 これらの機能をまだ使っていないリポジトリを見つけた場合は、それらを有効にするか、リポジトリを所有するチームと有効化の計画について話し合うことをお勧めします。 Organization 全体で機能を有効にする方法については、「組織のセキュリティおよび分析設定を管理する」を参照してください。 Enterprise 全体で機能を有効にする方法については、「Enterprise 用の GitHub Advanced Security 機能の管理」を参照してください。
その他の機能は、すべてのリポジトリで使用できるわけではありません。 たとえば、サポートされていないエコシステムまたは言語のみを使用するリポジトリに対して Dependabot または code scanning を有効にしても意味がありません。 そのため、これらの機能が有効ではないリポジトリがあるのは通常のことです。
また、Enterprise では、一部のコード セキュリティ機能の使用を制限するポリシーを構成する場合もあります。 詳しくは、「エンタープライズのコード セキュリティと分析のためのポリシーの適用」を参照してください。