スキャンは、組織の管理者またはセキュリティマネージャーにより開始できます。シークレットのリスクアセスメントでは、組織内のすべてのリポジトリをスキャンし、コード セキュリティのリスクアセスメントでは、最大 20 個のリポジトリを選択してスキャンします。スキャン結果が利用可能になると、GitHubからお客様にメールにてお知らせします。

組織が置かれているリスク状況を把握していますか。それを知るためには無料のアセスメントを実行しましょう。
GitHub のリスクアセスメントでは、リポジトリをスキャンして、リスクにされされている認証情報やコードの脆弱性を発見します。これにより、現在のリスクを知り、そのリスクに対処するための優先事項がわかるインサイトが得られます。

シークレットのリスクアセスメント
リポジトリをスキャンすることで、認証情報やシークレットの漏洩を検出し、どの種類が多いかや、どの領域で保護を強化すればリスクを低減できるかを特定します。
Code Securityのリスクアセスメント
最大20個のアクティブリポジトリをスキャンし、脆弱性の発見、深刻度別のリスクの把握、GitHub Copilot Autofix によって迅速な修復が可能な場所の特定ができます。
アセスメント結果でわかること
組織のリスク状況が明確になります。現時点でリスクの潜む場所を把握し、優先順位を整理し、より優れたビジネス上の意思決定が行えます。
仕組み
アセスメントを実行

結果を確認する
Code SecurityとSecret Protectionの各タブを開き、アセスメント結果を確認します。Secret Protection の結果はリポジトリの処理の進行に応じて表示され、Code Security の結果はフルスキャン完了後に確認できます。

次のステップ
対象となるエンタープライズ管理者の場合、リスクアセスメントから直接 GitHub Advanced Security をトライアルで開始できます。セルフサービスでのトライアルの対象でない場合は、GitHub Secret Protection または Code Security をアセスメントから直接有効化します。または、GitHub のエキスパートまでご相談ください。

お客様のリポジトリで。お客様の検出結果を。お客様が判断。
実際のコードをテスト
セキュリティ評価では、ベンチマーク、デモ、カバレッジ表に頼りがちです。本アセスメントではお客様の独自リポジトリを分析します。そのため、検出結果は、開発担当者が実際にリリースしたものをベースに評価できます。
推測ではなく、確証に基づく判断を
GitHub Security 製品が最適であるかを判断する前に、お客様の環境での検出結果を確認しましょう。
機能しているもの、機能していないものを見極める
何も検出されない場合は、現在の対策が有効であることを示します。認証情報、脆弱性、影響を受けるリポジトリなど、具体的な検出内容は、事実に基づいた対応判断の根拠となります。
よくある質問
セキュリティのリスクアセスメントを実行できるのは、どの GitHub プランとロールですか。
GitHub Team または GitHub Enterprise Cloud での組織オーナーとセキュリティマネージャーが実行できます。コードセキュリティのリスクアセスメントは、GitHub Enterprise Server 3.23 に搭載されています。
GitHub のセキュリティリスクアセスメントの料金はいくらですか。
費用はかかりません。コードスキャンで消費される GitHub Actions の実行時間を含め、アセスメントは無料です。アセスメント実行中に使用する GitHub Code Security および Secret Protection のライセンスにも料金は'かかりません。
GitHub のセキュリティリスクアセスメントの所要時間を教えてください。
多くのスキャンは 30 分以内に完了します。環境が大規模であったり、複雑な構成である場合は、さらに時間がかかる場合もあります。レポートが出来上がると GitHub よりメールにて通知いたします。Secret Protection タブはリポジトリのスキャン状況に合わせて更新され、Code Security タブは全スキャン完了時に結果が表示されます。
GitHub Security のリスクアセスメントはどのぐらいの頻度で実行できますか。
90 日ごとです。スキャン対象のリポジトリは毎回変更できます。
GitHub のセキュリティリスクアセスメントのスキャンによって何がわかりますか。
シークレットにおいて、GitHub は組織内のリポジトリの、漏洩リスクがあるクレデンシャルをプロバイダーのパターンや汎用的なパターンで検証します。コードについては、過去 90 日で最もコミット数の多いリポジトリ最大 20 個を CodeQL でスキャンします。リポジトリの選択は、スキャン実行前に変更することも可能です。
GitHub アセスメントは、既存のコードスキャンデータに影響を及ぼしますか。
いいえ。リスクアセスメントでは別のアップロードパスが使用され、リポジトリ内の既存のコードスキャンアラートを変更したり干渉したりすることはありません。
GitHub Security のリスクアセスメントで問題の検出が無かった場合は?
非常に'すばらしいことです。お客様の現在のセキュリティ対策が問題に対応できているという証'です。90 日ごとにアセスメントを再実行し、状態が維持されていることを確認してください。
GitHub Securityリスクアセスメントの結果を確認し、やるべきこととは。
対象となるエンタープライズ管理者の場合、リスクアセスメントから直接 GitHub Advanced Security をトライアルで開始できます。対象条件により、Secret ProtectionまたはCode Securityを有効にして、GitHub Advanced Securityのトライアルを開始できます。また、GitHub にお問い合わせいただき、エキスパートにご相談いただくこともできます。
セキュリティリスクアセスメントの結果は、GitHub のセールスチームに共有されますか。
お客様に同意いただいた場合のみ共有いたします。同意いただいたアセスメントでは、お客様の担当チームがフォローアップできるよう、お客様の連絡先情報が共有されます。共有に同意されない'場合は、お客様の担当チームにはアセスメントの実施のみをお知らせし、個人情報やアセスメントの詳細は共有いたしません。