セキュリティインベントリ

セキュリティインベントリを使用して、保護する必要のある資産を可視化し、セキュリティを向上させるために必要なアクションを理解します。セキュリティにおける一般的なフレーズは、「見えないものは保護できない」ということです。セキュリティインベントリは、組織のトップレベルグループのセキュリティ対策状況を可視化し、カバレッジのギャップを特定し、効率的でリスクに基づいた優先順位の決定を可能にします。

セキュリティインベントリには、以下が表示されます:

• グループ、サブグループ、プロジェクト。
• スキャナーがどのように有効になっているかに関係なく、各プロジェクトのセキュリティスキャナーのカバレッジ。セキュリティスキャナーには以下が含まれます:
  • 静的アプリケーションセキュリティテスト（SAST）
  • 依存関係スキャン
  • コンテナスキャン
  • シークレット検出
  • 動的アプリケーションセキュリティテスト（DAST）
  • Infrastructure as Code（IaC）スキャン
• 各グループまたはプロジェクト内の脆弱性の数（脆弱性の重大度レベル別に分類）。

この機能はベータです。セキュリティインベントリの開発をエピック16484で追跡する。この機能の開発を継続するにあたり、フィードバックをお寄せください。セキュリティインベントリはデフォルトで有効になっています。

セキュリティインベントリを表示する

前提要件:

• セキュリティインベントリを表示するには、グループ内で少なくともデベロッパーロールが必要です。

セキュリティインベントリを表示するには、次の手順を実行します:

1. 左側のサイドバーで、検索または移動先を選択して、グループを見つけます。
2. 左側のサイドバーで、セキュリティ > セキュリティインベントリを選択します。
3. 次のいずれかの操作を実行します:
   • グループのサブグループ、プロジェクト、およびセキュリティ資産を表示するには、グループを選択します。
   • グループまたはプロジェクトのスキャナーカバレッジを表示するには、グループまたはプロジェクトを検索します。

セキュリティインベントリのプロジェクトをフィルタリングする

セキュリティインベントリでプロジェクトをフィルタリングして、特定の関心のある領域に焦点を当てることができます。次のフィルターを使用できます:

• Vulnerability count（脆弱性の数）: 特定された脆弱性の数に基づいてプロジェクトをフィルタリングします。たとえば、critical vulnerabilities ≥ 10のプロジェクトを表示します。
• Tool coverage（ツールカバレッジ）: セキュリティアナライザー（有効、not enabled（無効）、または失敗など）のステータスでプロジェクトをフィルタリングします。たとえば、Advanced SAST = enabledのプロジェクトを表示します。
• プロジェクト名: 名前で特定のプロジェクトを検索します。

これらのフィルターを使用すると、大規模なインベントリの結果を絞り込み、早急な対応が必要なプロジェクトを簡単に見つけることができます。

関連トピック

• セキュリティダッシュボード
• 脆弱性レポート
• GraphQL参照:
  • AnalyzerGroupStatusType-グループとサブグループの各アナライザーのステータスの数。
  • AnalyzerProjectStatusType-プロジェクトのアナライザーのステータス（成功/失敗）。
  • VulnerabilityNamespaceStatisticType-グループとそのサブグループの各脆弱性の重大度の数。
  • VulnerabilityStatisticType-プロジェクト内の各脆弱性の重大度の数。

トラブルシューティング

セキュリティインベントリを使用する場合、次の問題が発生する可能性があります:

セキュリティインベントリのメニュー項目が見つからない

セキュリティインベントリメニュー項目にアクセスするための必要な権限がない認証済みユーザーがいます。このメニュー項目は、認証済みユーザーに少なくともデベロッパーロールがある場合にのみグループに表示されます。