GitHub Advanced Security 質問集
GitHub Advanced Security
- CodeQLとは何ですか?
- セキュリティの文脈での「shifting left」とは何を意味しますか?
- Repository Security Advisoriesとは何ですか?
- リポジトリの依存関係を最新に保つのに役立つツールはどれですか?
- オープンソースプロジェクトで発見されたセキュリティ脆弱性のキュレーションリストはどれですか?
- パブリックおよびプライベートの個人リポジトリで無料で利用できるGitHubのセキュリティ機能はどれですか?(4つ選択)
- Secret scanningとは何ですか?
- Secret scanningがスキャンするリポジトリの部分はどこですか?(2つ選択)
- Secret scanningパートナープログラムの目的は何ですか?
- 個人ユーザー所有のパブリックリポジトリと組織所有のパブリックリポジトリは、Secret scanningを無料で利用できますか?
- クラウドプロバイダーの資格情報を含むコミットがGitHubにプッシュされるのを防ぐにはどうすればよいですか?
- GitHub Secret scanningパートナープログラムについて正しいものはどれですか?(3つ選択)
- Secret scanningから特定のディレクトリやファイルを除外するにはどうすればよいですか?
- テストコードに偽のシークレットを含めていて、GitHubのSecret scanningで検出されました。これらはテスト用の偽シークレットで無視して良いことをGitHubに伝えるにはどうすれば良いですか?(2つ選択)
- GitHubのPersonal Access Tokenを誤ってパブリックリポジトリにコミットしてしまいました。アカウントの乗っ取りを防ぐために取るべき行動は?
- GitHub Secret scanningパートナープログラムに新しいシークレットパターンが追加または更新された場合の挙動は?
- リポジトリに新しいシークレットがプッシュされ検出された場合、誰に通知されますか?(5つ選択)
- GitHubがエンタープライズリポジトリの過去のすべてのコードをスキャンする際の通知の挙動は?(2つ選択)
- GitHubはユーザーアラートとプッシュ保護アラートの両方で同じシークレットスキャンパターンを使っていますか?
- GitHubが管理する3種類の異なるシークレットスキャンパターンは何ですか?(3つ選択)
- 複数のパブリックリポジトリに貢献しているが、それらにSecret scanningのプッシュ保護が有効でない場合、誤ってシークレットをプッシュしないようにするためには?
- 会社の内部シークレットがGitHubリポジトリに誤ってプッシュされるのを防ぎたいが、そのパターンがGitHubに知られておらずSecret scanningで検出されない。どのように開発者を保護できますか?
- Dependabotアラートは何を教えてくれますか?
- GitHub Dependency graphとは何ですか?
- GitHub Dependency graphはすべてのリポジトリで無料で利用できますか?
- GitHub Dependency graphはどのようにしてプロジェクトの依存関係を把握していますか?(2つ選択)
- GitHub Dependency graphはいつ更新されますか?(2つ選択)
- GitHub Dependency graphをどの形式でエクスポートできますか?
- Dependabot Alertsを使わずにDependency Graphを利用できますか?
- リポジトリでDependabot Alertsを使うための前提機能は何ですか?
- Dependabot Alertsについて正しい説明はどれですか?(3つ選択)
- GitHubのSecurity Overview機能の主な利点は何ですか?
- CodeQLとは何ですか?
- GitHubのDependabotアラートは何を示しますか?
- GitHubにおけるコードスキャンの目的は何ですか?
- GitHubで秘密情報のスキャン(Secret scanning)はパブリックリポジトリとプライベートリポジトリの両方で利用可能ですか?
- GitHubでのCodeQL分析のデフォルト設定は何をしますか?
- CodeQL CLIの主な目的は何ですか?
- CodeQLでコードスキャンに対応していない言語はどれですか?
- CodeQLはGitHubでどのようにコードを解析しますか?
- CodeQLを外部CIシステムでGitHubリポジトリと一緒に使用するにはどうすればよいですか?
- GitHubのSecret scanningについて、以下のうち正しくないものはどれですか?
- `dependabot.yml` ファイルで必要なトップレベルキーはどれですか?
- サードパーティのSARIFファイルをアップロードするために使われるGitHub Actionはどれですか?
- サードパーティのCIシステムでコード解析結果をGitHubにアップロードするために使われるツールはどれですか?
- CIサーバーがSARIF結果をGitHubにアップロードするために必要なものは何ですか?
- 1つのコミットに対して2つ目のSARIF結果ファイルがGitHubにアップロードされた場合、どうなりますか?
- GitHubで特定のディレクトリをSecret scanningアラートから除外するにはどうすればよいですか?
- GitHubでSecret scanningアラートからディレクトリを除外するために`secret_scanning.yml`ファイルで使用すべきキーはどれですか?
- GitHubでSecret scanningのために定義可能なカスタムパターンの最大数はいくつですか?
- 空欄を埋めてください:`GitHub __________ はGitHubリポジトリ内のコードを解析し、セキュリティの脆弱性やコーディングエラーを発見するための機能です。`
- GitHub Advanced Securityのどの機能が、コードの新旧の問題を発見・振り分け・優先順位付けすることを可能にしますか?
- リポジトリでコードスキャンを有効にするにはどうすればよいですか?
- GitHubリポジトリでCodeQL解析をスケジュールで実行するにはどうすればよいですか?(2つ選んでください)
- 組織で、リポジトリの全プルリクエストにCodeQL解析を導入し、さらに毎時実行するようになってからGitHub Actionsの請求が通常より高額になりました。これの最も考えられる原因は何ですか?
- GitHub Actionsを使用したくない場合、外部のCIシステムでコードスキャンを実行し、その結果をGitHubにアップロードできますか?
- サードパーティのCIシステムでコードスキャンを実行する場合、コードベースを解析するためにどのGitHubツールが必要ですか?
- GitHub ActionsをCIシステムとして使用し、かつサードパーティツールでコードスキャンを行う場合、SARIF結果をGitHubにアップロードするにはどうすればよいですか?
- サードパーティのCIシステムでCodeQL解析を使えますか?
- コードスキャンについて正しいものはどれですか?(2つ選んでください)
- GitHub ActionsワークフローでCodeQL解析を使う場合、スキャンはどのくらいの頻度でトリガーされますか?
- `paths-ignore` キーワードをコードスキャンのGitHub Actionsワークフローに追加するとどうなりますか?
- CodeQLスキャンはどの言語をサポートしていますか?
- CodeQLクエリは何のために使われますか?
- QLとは何ですか?
- CodeQLクエリスイートとは何ですか?
- CodeQLパックの種類にはどのようなものがありますか?(3つ選んでください)
- CodeQLクエリパックとは何ですか?
- CodeQL解析ワークフローの手順は何ですか?
- CodeQLコード解析における抽出(Extraction)とは何ですか?
- 複数のプログラミング言語を含むコードベースでCodeQL解析を実行する場合の正しい説明はどれですか?(2つ選んでください)
- コンパイル言語とインタプリタ言語でCodeQLデータベース作成を実行する際の違いは何ですか?(2つ選んでください)
- デフォルトのコードスキャン設定を使うとき、最後にCodeQL解析が実行された日時はどこで確認できますか?
- CodeQLスキャンのデフォルト設定に関して正しい説明はどれですか?(3つ選んでください)
- 追加のCodeQLクエリスイートで高度なCodeQLスキャン設定をカスタマイズする方法は?(2つ選んでください)
- GitHub ActionsでCodeQL解析を実行するとき、どのActionsを使いますか?(3つ選んでください)
- 多言語リポジトリでGitHub Actionsを使い、言語ごとに並列でCodeQL解析を実行する最も簡単な方法は?
- GitHub ActionsワークフローでカスタムCodeQL設定ファイルを使うには?
- GitHub ActionsワークフローでCodeQLクエリの指定はどこで行えますか?(2つ選んでください)
- `github/codeql-action/init` GitHubアクションの`external-repository-token`パラメータの目的は何ですか?
- CodeQL CLIでCodeQLデータベースを作成するコマンドは何ですか?
- CodeQL CLIの`codeql database analyze`コマンドの目的は何ですか?
- Jenkins CIパイプラインの一環としてCodeQLデータベースを作成・解析しSARIFファイルを生成しました。SARIFファイルをGitHubにアップロードする方法は?(2つ選んでください)
- コードスキャンアラートページでどのような詳細情報が確認できますか?(3つ選んでください)
- CodeQL解析結果の閲覧に関する正しい記述はどれですか?(2つ選んでください)
- CodeQL解析GitHub Actionsワークフローがプルリクエストで新たな脆弱性を検出した場合、その情報はどこで確認できますか?
- コードスキャンアラートの`Show paths`オプションの用途は何ですか?
- コードスキャンアラートを却下するとはどういう意味ですか?
- CodeQL解析ワークフローの完了時間を短縮するために適切でない方法はどれですか?
- SARIFカテゴリを定義する目的は何ですか?
- GitHub Enterprise ServerでGitHub Advanced Security機能を有効にする方法は?(2つ選んでください)
- GitHub Enterprise Cloudで組織内のすべてのリポジトリにGitHub Advanced Security機能を有効にするには?
- リポジトリ管理者として、コードベースのセキュリティ脆弱性の報告方法の案内はどこに記載すべきですか?
- GitHubセキュリティポリシーとは何ですか?
- `my-org` GitHub組織内のすべてのリポジトリに対してデフォルトのセキュリティポリシーを設定するには?
- 企業のすべてのDependabotアラートを取得するために使用できるAPIエンドポイントはどれですか?
- 組織のすべてのSecret scanningアラートを取得するために使用できるAPIエンドポイントはどれですか?
- リポジトリのすべてのCode scanningアラートを取得するために使用できるAPIエンドポイントはどれですか?
- 脆弱な依存関係の最も適切な定義はどれですか?
- Dependabot security updatesとは何ですか?
- Dependabot Alertsはデフォルトでどのリポジトリに有効ですか?
- 誰がリポジトリでDependabot alertsを有効にできますか?
- 組織内のリポジトリでDependabot alertsを見るために必要な最低アクセスレベルは?
- 組織内のすべてのリポジトリでDependabot Alertsを有効にするにはどうすればよいですか?
- 次のうち有効な `dependabot.yml` 設定ファイルはどれですか?
- 次のうちDependabot alertsの通知チャネルとしてサポートされていないものはどれですか?
- Dependabot auto-triage rulesとは何ですか?
- 低重大度のDependabot alertsを自動で却下するにはどうすればよいですか?
- 組織内のすべてのリポジトリでDependabot Security Updatesを有効にするにはどうすればよいですか?
- プルリクエストがセキュリティ脆弱性のある依存関係を導入しているかをチェックするツールは何ですか?
- GitHub Actionsを有効にする必要があるのはどれですか?
- `CVSS` は何の略ですか?
- `CVE` は何の略ですか?
- `CWE` は何の略ですか?
- Dependabotのコメントコマンドでプルリクエストを正常に完了させるのはどれですか?
- GitHubがホストするmacOSランナーで実行されるジョブは、Linuxランナーが消費する分数の__倍を消費します。