GitHub 向けのマネージド検査
本ページでは、GitHub 向けに Flatt Security により標準提供される検査項目(マネージド検査項目)について説明します。 なお本ページで説明されていない検査項目に関しても、ご契約中のサポートプランに応じて、Flatt Security からご提供できる場合がございます。
検査を実施するには
以下で公開されているワークフローを Shisho Cloud 組織に登録することでマネージド検査項目を利用できます:
検査項目の一覧
info
各検査項目の緊急度は、ダッシュボード等での統計情報の表示や、今取るべき対応アクションのリコメンドの際に用いられます。 ポリシーをカスタマイズすることで、組織のポリシーに合わせた緊急度の変更も可能です。
| 検査項目名 | 関連する標準 | デフォルトの緊急度 | Shisho Cloud 内の管理 ID |
|---|---|---|---|
| GitHub Actions ワークフローが依存するツール群を固定する | 2.4.2 (CIS SCC v1.0.0) | Low | decision.api.shisho.dev/v1beta:github_actions_dependency_pinning |
| GitHub Actions ワークフローによる未検証の外部スクリプトの実行を避ける | 2.4.3 (CIS SCC v1.0.0) | Medium | decision.api.shisho.dev/v1beta:github_actions_insecure_script_evaluation |
| GitHub Actions ワークフローによる明示的なパーミッション宣言をポリシー通りに保つ | 2.2.3 (CIS SCC v1.0.0) | Low | decision.api.shisho.dev/v1beta:github_actions_workflow_explicit_permissions |
| GitHub Actions ワークフローへのスクリプト注入を避ける | 1.3.8 (CIS SCC v1.0.0) | Medium | decision.api.shisho.dev/v1beta:github_actions_workflow_script_injection_possibility |
| GitHub Actions ワークフロー中へのシークレットの直接の埋め込みを避ける | 1.5.1 (CIS SCC v1.0.0) | Critical | decision.api.shisho.dev/v1beta:github_actions_workflow_secret_handling |
| 重要なブランチの削除を制限する | 1.1.17 (CIS SCC v1.0.0) | Medium | decision.api.shisho.dev/v1beta:github_branch_deletion_policy |
| コードの変更にコードオーナーからのレビューを要求する | 1.1.7 (CIS SCC v1.0.0) | Low | decision.api.shisho.dev/v1beta:github_code_owners_review_policy |
| コミットに署名を要求する | 1.1.12 (CIS SCC v1.0.0) | Info | decision.api.shisho.dev/v1beta:github_commit_signature_policy |
| デフォルトブランチを保護する | 1.1.14 (CIS SCC v1.0.0) | Medium | decision.api.shisho.dev/v1beta:github_default_branch_protection |
| ブランチへの force push を拒否する | 1.1.16 (CIS SCC v1.0.0) | Low | decision.api.shisho.dev/v1beta:github_force_push_policy |
| コミット履歴をリニアに保つ | 1.1.13 (CIS SCC v1.0.0) | Info | decision.api.shisho.dev/v1beta:github_linear_history_policy |
| コードへの変更には十分なレビューを要求する | 1.1.3 (CIS SCC v1.0.0) | Medium | decision.api.shisho.dev/v1beta:github_minimum_approval_number_policy |
| GitHub 組織の 2FA 利用を必須にする | 1.3.5 (CIS SCC v1.0.0) | Low | decision.api.shisho.dev/v1beta:github_org_2fa_status |
| GitHub リポジトリの基本権限を堅牢にする | 1.3.8 (CIS SCC v1.0.0) | Low | decision.api.shisho.dev/v1beta:github_org_default_repository_permission |
| GitHub の公開ページの作成を制限する | Low | decision.api.shisho.dev/v1beta:github_org_members_permission_on_creating_public_pages | |
| GitHub の公開リポジトリの作成を制限する | 1.2.2 (CIS SCC v1.0.0) | Low | decision.api.shisho.dev/v1beta:github_org_members_permission_on_creating_public_repos |
| GitHub リポジトリの fork を制限する | Low | decision.api.shisho.dev/v1beta:github_org_members_permission_on_private_forking | |
| GitHub 組織のオーナー数を適切に保つ | 1.3.3 (CIS SCC v1.0.0) | Low | decision.api.shisho.dev/v1beta:github_org_owners |
| ブランチの保護を管理者にも適用する | 1.1.14 (CIS SCC v1.0.0) | Low | decision.api.shisho.dev/v1beta:github_protection_enforcement_for_admins |
| GitHub リポジトリの管理者の数を適切に保つ | 1.3.7 (CIS SCC v1.0.0) | Low | decision.api.shisho.dev/v1beta:github_repo_admins |
| GitHub リポジトリの削除権限を制限する | 1.2.3 (CIS SCC v1.0.0) | Low | decision.api.shisho.dev/v1beta:github_repo_members_permission_on_deleting_repository |
| コードの変更に常に最新のレビューを要求する | 1.1.4 (CIS SCC v1.0.0) | Low | decision.api.shisho.dev/v1beta:github_stale_review_policy |