code security risk assessmentは無料のセルフサービス スキャンであり、コードの脆弱性に対する組織の露出を把握するのに役立ちます。 この評価では、組織のリポジトリの最大 20 個をスキャンし、検出された脆弱性、重大度、および Copilot自動修正で修正できる数を示すレポートを生成します。
評価は完全に無料です。 GitHub Code Securityライセンスに対して課金されることはありません。スキャン中に使用されたGitHub Actions分は無料で提供されます。
誰が評価を実行できるか
**組織の所有者**と**セキュリティ マネージャー**は、GitHub TeamまたはGitHub Enterprise Cloudプランで、組織のcode security risk assessmentを実行できます。
評価でスキャンされる内容
既定では、評価では、過去 90 日間のコミット アクティビティに基づいて、組織のプライベート リポジトリと内部リポジトリのうち最大 20 個が事前に選択されます。 スキャンを実行する前に、この選択を変更できます。 コード スキャンでサポートされている少なくとも 1 つの言語を含むリポジトリのみを選択できます。
スキャンには 1 時間のタイムアウトがあります。 リポジトリ内のすべての言語がスキャンに失敗した場合、そのリポジトリは失敗としてカウントされます。 少なくとも 1 つの言語スキャンが成功した場合、リポジトリの結果がレポートに含まれます。
評価は 90 日ごとに再実行できます。 再実行のたびに、スキャンするリポジトリを変更できます。
secret risk assessmentとの関係
GitHub は、 code security risk assessment と secret risk assessmentの 2 つの無料のセキュリティ リスク評価を組織に提供します。 2 つの評価は個別に実行され、その結果は評価ビューの個別のタブに表示されます。 各評価は 90 日ごとに再実行できます。
secret risk assessment
の詳細については、「GitHubを使用したシークレット セキュリティについて」を参照してください。
次のステップ
組織の code security risk assessment を生成するには、 組織のコード セキュリティ リスク評価の実行 を参照してください。