About security findings
After you apply a security configuration to a repository, the enabled security features will likely raise security findings on that repository. These findings may show up as feature-specific alerts, or as automatically generated pull requests designed to keep your repositories secure. You can analyze the findings across the organization and make any necessary adjustments to your security configuration.
To best secure your organization, you should encourage contributors to review and resolve security alerts and pull requests. In addition, you can collaborate with contributors to fix historical security alerts, see セキュリティ アラートの大規模な修正に関するベスト プラクティス.
Finding repositories with security alerts using security overview
セキュリティの概要に表示される情報は、リポジトリや organization に対するアクセス権、それらのリポジトリや organization が Advanced Security 機能を使っているかどうかによって変わります。 詳しくは、「セキュリティの概要について」をご覧ください。
-
GitHub で、organization のメイン ページに移動します。
-
Organization 名の下にある [ Security] をクリックします。
![組織の水平ナビゲーション バーのスクリーンショット。 盾のアイコンと [セキュリティ] というラベルのタブが、濃いオレンジ色の枠線で囲まれています。](/assets/cb-22170/images/help/organizations/organization-security-tab.png)
-
By default, the overview shows alerts for all native GitHub tools (filter:
tool:github). To display alerts for a specific tool, replacetool:githubin the filter text box. For example:tool:dependabotto show only alerts for dependencies identified by Dependabot.tool:secret-scanningto only show alerts for secrets identified by secret scanning.tool:codeqlto show only alerts for potential security vulnerabilities identified by CodeQL code scanning.
-
You can add further filters to show only the repositories you want to assess. The list of repositories and metrics displayed on the page automatically update to match your current selection. For more information on filtering, see セキュリティの概要でアラートをフィルター処理する.
-
必要に応じて、左側のサイドバーを使って、特定のセキュリティ機能のアラートを詳しく調べます。 各ページでは、その機能固有のフィルターを使用して、検索を調整できます。 使用できる修飾子について詳しくは、「セキュリティの概要でアラートをフィルター処理する」をご覧ください。
![組織の水平ナビゲーション バーのスクリーンショット。 盾のアイコンと [セキュリティ] というラベルのタブが、濃いオレンジ色の枠線で囲まれています。](/assets/cb-22170/mw-1440/images/help/organizations/organization-security-tab.webp)
Interpreting secret scanning alerts
Secret scanning は、リポジトリの Git 履歴全体をスキャンするセキュリティ ツールです。これにより、リポジトリ内の問題、プル リクエスト、ディスカッション、ウィキで、誤ってコミットされたトークンや秘密鍵などの漏えいした機密情報を検出します。 There are two types of secret scanning alerts:
- パートナーに対するシークレット スキャンニング アラート, which are sent to the provider who issued the secret
- ユーザーに対するシークレット スキャンニング アラート, which appear on GitHub and can be resolved
You can view secret scanning alerts for an organization by navigating to the main page of that organization, clicking the Security tab, then clicking Secret scanning in the "Metrics" or "Alerts" section.
- Metrics. To see detailed information on push protection events, see Viewing metrics for secret scanning push protection.
- Alerts. To see detailed information on Default and Generic alerts for exposed secrets in the organization.
For an introduction to secret scanning alerts, see シークレット スキャン アラートについて.
To learn how to evaluate secret scanning alerts, see シークレット スキャンからのアラートの評価.
Interpreting code scanning alerts
Code scanning は、GitHub リポジトリ内のコードを分析して、セキュリティの脆弱性とコーディング エラーを見つけることができる機能です。 分析によって特定された問題は、リポジトリに表示されます。 These problems are raised as code scanning alerts, which contain detailed information on the vulnerability or error detected.
You can view the code scanning alerts for an organization by navigating to the main page of that organization, clicking the Security tab, then clicking:
- CodeQL pull request alerts. To see information on code scanning alerts found and remediated in pull requests.
- Code scanning. To see detailed information on alerts for potentially vulnerable code in the organization, see Viewing metrics for pull request alerts.
For an introduction to code scanning alerts, see Code scanningアラートについて.
To learn how to interpret and resolve code scanning alerts, see リポジトリのコード スキャンのアラートの評価 and コード スキャン アラートを解決する.
Interpreting Dependabot alerts
Dependabot alerts inform you about vulnerabilities in the dependencies that you use in repositories in your organization. You can view Dependabot alerts for an organization by navigating to the main page of that organization, clicking the Security tab, then clicking Dependabot.
For an introduction to Dependabot alerts, see Dependabot アラートについて.
To learn how to interpret and resolve Dependabot alerts, see Dependabot アラートの表示と更新.
メモ
If you enabled Dependabot security updates, Dependabot can also automatically raise pull requests to update the dependencies used in the repositories of the organization. For more information, see Dependabot のセキュリティ アップデート.
Next steps
If you are using the GitHub-recommended security configuration, and your findings indicate the security enablement settings are not meeting your needs, you should create a custom security configuration. To get started, see カスタム セキュリティ構成の作成.
If you are using a custom security configuration, and your findings indicate the security enablement settings are not meeting your needs, you can edit your existing configuration. For more information, see カスタム セキュリティ構成の編集.
Lastly, you can also edit your organization-level security settings with global settings. To learn more, see 組織のグローバル セキュリティ設定の構成.