スキャンは、組織の管理者またはセキュリティマネージャーが開始します。シークレットのリスクアセスメントでは、組織内のすべてのリポジトリを確認します。コードセキュリティのリスクアセスメントでは、お客様が選択したリポジトリを最大 20 個スキャンします。レポートが出来上がると GitHub よりメールにて通知いたします。

組織はどれほどリスクにさらされているでしょうか。それを知るために無料のアセスメントを実行しましょう。
GitHub のリスクアセスメントは、リポジトリをスキャンして、クレデンシャルの漏洩リスクや、コードの脆弱性を検出します。環境での実際の検出結果を評価したうえで、GitHub 'のセキュリティ製品を導入すべきかどうかを判断できます。

シークレットリスクの評価
組織内のあらゆるリポジトリから、漏洩したクレデンシャルを検出します。それらの存在場所、検出頻度の高いカテゴリ、プッシュによる保護で未然回避できた回数を確認できます。
コードセキュリティリスク管理
最もアクティブなリポジトリを最大 20 までスキャンできます。脆弱性を深刻度、ルール、言語ごとに確認し、さらに GitHub Copilot Autofix による提案の対象となるものがいくつあるかもわかります。
アセスメントからわかること
結果はチームでのブリーフィング、リスクの高いリポジトリの特定、スタックへの Secret Protection や Code Security の導入可否の決定に活用できます。
仕組み
アセスメントを実行

結果を確認する。
Code Security と Secret Protection タブを開き、スキャンの結果を確認します。Secret Protection タブでは、リポジトリの処理進行に合わせてデータがストリームされます。Code Security タブでは、すべてのスキャンが完了するとデータが表示されます。

次に取るべきステップを決める
対象となるエンタープライズ管理者は、リスクアセスメントから直接 GitHub Advanced Security をトライアルで開始できます。セルフサービスでのトライアルの対象でない場合は、アセスメントから GitHub Secret Protection または Code Security を直接有効化するか、 GitHub のエキスパートまでご相談ください。

お客様のリポジトリで。お客様の検出結果を。お客様が判断。
実際のコードをテスト
セキュリティ評価では、ベンチマーク、デモ、カバレッジ表に頼りがちです。本アセスメントではお客様の独自リポジトリを分析します。そのため、検出結果は、開発担当者が実際にリリース��たものをベースに評価できます。
推測ではなく、確証に基づく判断を
GitHub Security 製品が最適であるかを判断する前に、お客様の環境での検出結果を確認しましょう。
有効性のあるものを確認、機能していないものを特定
結果に何もなければ、それは現在の対策が有効であることの証明となります。クレデンシャル、脆弱性、影響が及んでいるリポジトリなど、具体的な結果が提示され、次のアクションを起こすための事実に基づく根拠となります。
よくある��問
セキュリティリスクアセスメントを実行できるのは、どの GitHub プランとロールですか。
GitHub Team または GitHub Enterprise Cloud での組織オーナーとセキュリティマネージャーが実行できます。コードセキュリティリスクアセスメントは、GitHub Enterprise Server 3.22 に搭載されています。
GitHub のセキュリティリスクアセスメントの料金はいくらですか。
費用はかかりません。コードスキャンで消費される GitHub Actions の実行時間を含め、アセスメントは無料です。アセスメント実行中に使用する GitHub Code Security および Secret Protection のライセンスにも料金は'かかりません。
GitHub のセキュリティリスクアセスメントの所要時間を教えてください。
多くのスキャンは 30 分以内に完了します。環境が大規模であったり、複雑な構成である場合は、さらに時間がかかる場合もあります。レポートが出来上がると GitHub よりメールにて通知いたします。Secret Protection タブはリポジトリのスキャン状況に合わせて更新され、Code Security タブは全スキャン完了時に結果が表示されます。
GitHub Security のリスクアセスメントはどのぐらいの頻度で実行できますか。
90 日ごとです。スキャン対象のリポジトリは毎回変更できます。
GitHub のセキュリティリスクアセスメントのスキャンによって何がわかりますか。
シークレットにおいて、GitHub は組織内のリポジトリの、漏洩リスクがあるクレデンシャルをプロバイダーのパターンや汎用的なパターンで検証します。コードについては、過去 90 日で最もコミット数の多いリポジトリ最大 20 個を CodeQL でスキャンします。リポジトリの選択は、スキャン実行前に変更することも可能です。
GitHub アセスメントは、既存のコードスキャンデータに影響を及ぼしますか。
いいえ。リスクアセスメントでは別のアップロードパスが使用され、リポジトリ内の既存のコードスキャンアラートを変更したり干渉したりすることはありません。
GitHub Security のリスクアセスメントで問題の検出が無かった場合は?
非常に'すばらしいことです。お客様の現在のセキュリティ対策が問題に対応でき���いるという証'です。90 日ごとにアセスメントを再実行し、状態が維持されていることを確認してください。
What can I do after reviewing my GitHub security risk assessment results?
Eligible enterprise admins can start a GitHub Advanced Security trial directly from the risk assessment. Depending on your eligibility, you can enable Secret Protection or Code Security, start a GitHub Advanced Security trial, or contact GitHub to speak with an expert.
セキュリティリスクアセスメントの結果は、GitHub のセールスチームに共有されますか。
お客様に同意いただいた場合のみ共有いたします。同意いただいたアセスメントでは、お客様の担当チームがフォローアップできるよう、お客様の連絡先情報が共有されます。共有に同意されない'場合は、お客様の担当チームにはアセスメントの実施のみをお知らせし、個人情報やアセスメントの詳細は共有いたしません。