Skip to main content

セキュリティの概要ダッシュボードのメトリック

セキュリティ概要ページにおけるメトリック、計算、およびデータ視覚化の詳細な説明。

ダッシュボードのメトリック

セキュリティの概要の概要ダッシュボードには、組織 またはエンタープライズのセキュリティ アラート メトリックが表示されます。 ダッシュボードを使用して、アプリケーション セキュリティ プログラムの正常性の監視、エンジニアリング チームとの共同作業、およびベンチマーク目的でのデータ収集ができます。

ダッシュボードには、時間の経過に伴うアラートの数とアクティビティを追跡する傾向データと、現在の状態を反映するスナップショットデータが表示されます。 フィルターを適用すると、ダッシュボード全体のすべてのデータとメトリックが変更されます。 既定では、ダッシュボードにはGitHub ツールからのすべてのアラートが表示されますが、ツール フィルターを使用して、特定のツール (secret scanning、Dependabot、code scanning、特定のサード パーティ製ツールを使用したCodeQL) またはすべてのサードパーティ製code scanning ツールからのアラートを表示できます。 「セキュリティの概要でアラートをフィルター処理する」を参照してください。

傾向インジケーターは、 前の期間と比較した変化率を示します。 例えば次が挙げられます。

  • 今週の 10 件のアラートと先週の 20 件のアラート = 50% 減少
  • 平均アラート期間が15日で、5日の場合と比較して200%増加

アラートの重大度のフィルター処理: ダッシュボードには、セキュリティの重大度レベル ( CriticalHighMedium、または Low) のアラートのみが含まれます。 セキュリティ以外のアラート (ErrorWarning、または Note) は除外されます。 これにより、ダッシュボードのカウントがアラート合計 code scanning と異なる場合があります。 詳細については、「コード スキャンのアラート」を参照してください。

Limitations

概要ページを設定するデータは、リポジトリの削除やセキュリティ アドバイザリの変更など、さまざまな要因によって時間の経過とともに変化する可能性があります。 これは、同じ期間の概要メトリックが 2 つの異なる時点で表示されると異なる可能性があることを意味します。 コンプライアンス レポートやその他のシナリオでデータの整合性が重要な場合は、監査ログからデータを取得することをお勧めします。 「セキュリティ アラートの監査」を参照してください。

概要ページでは、セキュリティ アラートが時間の経過とどのように変化したかを追跡します。 ただし、リポジトリの状態などの別の属性でフィルター処理すると、その属性の現在の値が使用され、履歴値は使用されません。

たとえば、リポジトリをアーカイブすると、そのリポジトリに含まれる開いているアラートが閉じます。 リポジトリをアーカイブする前に 1 週間概要ページを表示する場合:

  • リポジトリのデータは、アーカイブされたリポジトリを表示するようにフィルター処理した場合にのみ表示されます。これはリポジトリの現在の状態であるためです。
  • アラートは、その時点の状態を反映するため、まだ開いている状態として表示されます。

ダッシュボードの構造

ダッシュボードは 3 つのタブに分けられ、それぞれが異なるセキュリティ目標に焦点を当てています。

  • 検出: 組織、 またはエンタープライズのアラートの状態と経過、ブロックまたはバイパスされたシークレット、および潜在的なセキュリティ リスクが最も高い上位のリポジトリと脆弱性に関するメトリックを表示します。
  • 修復: アラートの解決方法と時間の経過に伴うアラート アクティビティに関するメトリックを表示します。
  • 防止: プル要求での脆弱性の防止と修正方法に関するメトリックを示します。

メモ

既定のブランチでアラートを報告する [検出 ] タブと [修復 ] タブとは異なり、[ 防止 ] タブには、マージされたプル要求で見つかった CodeQL アラートの分析情報が表示されます。

検出メトリック

組織内、 企業のセキュリティ アラートの現在の状態を追跡します。

時間の経過とともに表示されるオープンアラート

選択した期間中の開いているアラートの数の変化を示します。 既定では、アラートは重大度別にグループ化されます。 アラートがグループ化される方法を変更できます。

  • 新しいアラートは、作成日に表されます。
  • 選択した期間より前に存在していたアラートは、期間の開始時に表されます。
  • アラートが修復または無視されると、そのアラートはグラフに含まれません。 代わりに、アラートは閉じたアラート グラフに移動します。

アラートの有効期間

選択した期間の終了時にまだ開いているすべてのアラートの平均経過時間。

式: 開いている各アラートの期間は、選択した期間が終了した日付からアラートが作成された日付を差し引いて計算され、開いているすべてのアラートで平均化されます。

メモ

再度開いたアラートの場合、期間は、アラートが再度開かれた日付ではなく、元の作成日を差し引くことで計算されます。

再度開いたアラート

選択した期間中に再度開かれた開いているアラートの合計数。 レポート期間の終了時に開いているアラートのみが報告されます。 これには、以下のことが含まれます。

  • 選択した期間の前に閉じられ、期間の終了時に開いたままのアラート。
  • 選択した期間中に閉じられ、再度開かれた新しく作成されたアラート。
  • 選択した期間の開始時にオープンになったが、同じ期間内にクローズしてから再度オープンになったアラート。

バイパスまたはブロックされたシークレット

プッシュ保護によってブロックされたシークレットの合計に対してバイパスされたシークレットの比率を示します。

  • 回避: 検出されたにもかかわらずコミットされたシークレット。
  • ブロック成功: ブロック総数からバイパス数を差し引いた数。 シークレットが修正され、リポジトリにコミットされていない場合、シークレットは正常にブロックされたと見なされます。

[ 詳細の表示 ] をクリックすると、同じフィルターと期間が選択された secret scanning レポートが表示されます。

プッシュ保護メトリック secret scanning 詳細については、「 secret scanning プッシュ保護のメトリックの表示」を参照してください。

影響分析テーブル

影響分析テーブルには、[Repositories]、[Advisories]、[SAST vulnerabilities] のデータを示す個別のタブがあります。

  • [リポジトリ] タブ: 選択した期間の終了時に最も開いているアラートが最も多い上位 10 個のリポジトリを、開いているアラートの合計数でランク付けして表示します。 リポジトリごとに、オープンアラートの合計数が重大度別の内訳と共に表示されます。
  • [アドバイザリ] タブ: 選択した期間の終了時に最も Dependabot なアラートをトリガーした 10 個の CVE アドバイザリを、開いているアラートの合計数でランク付けして示します。 各アドバイザリについて、未対応のアラートの合計数が重大度評価と併せて表示されます。
  • [SAST の脆弱性] タブ: 最も code scanning なアラートをトリガーした 10 個の静的アプリケーション セキュリティ テスト (SAST) の脆弱性を、開いているアラートの合計数でランク付けして示します。 脆弱性ごとに、オープン アラートの合計数が重大度評価と共に表示されます。

修復メトリック

アラートが迅速かつ効果的に解決される方法を追跡します。

時間の経過に伴う閉じたアラート

選択した期間に終了したアラートの数の変化を表示します。 既定では、アラートは重大度別にグループ化されます。 アラートがグループ化される方法を変更できます。 クローズド アラートには、選択した期間の前または期間中に正常に修復または無視されたセキュリティ アラートが含まれます。

  • 期間中に終了したアラートは、その終了日にグラフに表示されます。
  • 選択した期間の前に修復または無視されたアラートは、期間の開始時に表されます。

平均修復時間

選択した期間中に修復または無視されたすべてのアラートの平均経過時間。 "誤検知" としてクローズしたアラートは除外されます。

数式: 閉じられた各アラートの期間は、選択した期間中にアラートが最後に閉じられた日付からアラートが作成された日付を差し引いて計算され、閉じられたすべてのアラートで平均化されます。

メモ

再度開いたアラートの場合、期間は、アラートが再度開かれた日付ではなく、元の作成日を差し引くことで計算されます。

正味解決率

アラートが閉じられる速度。 このメトリックは "開発者のベロシティ" の測定に似ており、アラートが解決される速度と効率を反映します。

式: 選択した期間中に閉じられ、閉じられたままであったアラートの数÷期間中に作成されたアラートの数

メモ

正味解決率では、選択した期間中に新規のアラートや解決したアラートがあれば考慮されます。 つまり、新しいアラートのセットと、計算に使用されるクローズしたアラートのセットは必ずしも対応していません。これは、アラートの母集団が異なる可能性があるためです。

除外: 選択した期間中に再度開いて閉じたアラートは無視されます。

アラート アクティビティ グラフ

選択した期間のアラートの流入と流出を表示します。

  • 緑のバー: セグメント化された期間中に作成された新しいアラートの数
  • 紫色のバー: セグメント化された期間中に終了したアラートの数
  • 青い点線: 正味のアラート件数(新規アラート数からクローズ済みアラート数を差し引いた数)

防止メトリック

運用環境に到達する前に、キャッチされ、修正された脆弱性を追跡します。

導入と防止

開発者ワークフローでキャッチされた脆弱性と、選択した期間に導入された脆弱性の累積数が表示されます。

  • 防止済み: マージされたプル リクエストについて、CodeQL によって検出され、修正されたプル リクエスト アラートの数。 日付は修正日付に基づきます。
  • 導入: "リスクが受け入れられた" として無視されたか、プル要求がマージされた時点で未解決であった、 CodeQL によって検出された新しいプル要求アラートの数。 日付は作成日に基づいています。

プル要求で修正された脆弱性

マージされたプル要求に関連付けられている "固定" という密接な理由を持つ CodeQL または secret scanning によって検出されたプル要求アラートの数。