リポジトリのシークレットスキャンの構成

ユーザーに対するシークレットスキャンアラートを有効にする

自分が所有する無料のパブリックリポジトリに対してユーザーに対するシークレットスキャンアラートを有効にすることができます。有効にすると、secret scanningはGitHubリポジトリ中に存在するすべてのブランチのGit履歴全体に対して、あらゆるシークレットをスキャンします。

[コードのセキュリティと分析] の Organization 設定ページを使って、Organization 内のすべてのパブリックリポジトリに対して code scanning を有効にできます。

GitHub.com で、リポジトリのメインページへ移動します。 1. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウンメニューを選び、 [設定] をクリックします。
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
ページの下部まで下にスクロールし、secret scanning の [有効] をクリックします。 [無効] ボタンが表示される場合は、リポジトリで secret scanning が既に有効になっていることを意味します。
必要に応じて、プッシュ保護を有効にする場合は、[プッシュ保護] の右側にある [有効] をクリックします。プッシュ保護を有効にすると、secret scanning は、信頼度の高いシークレット (誤検知率が低いシークレット) のプッシュもチェックします。 Secret scanning には、作成者がシークレットを確認して削除できるように、検出したシークレットが一覧表示されます。また、必要に応じて、それらのシークレットをプッシュできるようにします。詳細については、「シークレットスキャンによるプッシュの保護」を参照してください。

個人用アカウント設定から、すべてのパブリックリポジトリに対してユーザーに対するシークレットスキャンアラートを有効にすることができます。

任意のページで、右上隅にあるプロファイルの画像をクリックし、次に[設定]をクリックします。
サイドバーの [セキュリティ] セクションで、 [コードセキュリティと分析] をクリックします。
[Code security and analysis] (コードのセキュリティと分析) で、[Secret scanning] の右側にある [すべて無効にする] または [すべて有効にする] をクリックします。
必要に応じて、作成した新しいパブリックリポジトリで secret scanning を自動的に有効にするには、[Secret scanning] の下にある [Automatically enable for new public repositories] (新しいパブリックリポジトリの場合に自動的に有効にする) のチェックボックスをオンにします。

secret_scanning.yml ファイルを構成して、secret scanning からディレクトリを除外することができます (プッシュ保護を使う場合を含む)。たとえば、テストまたはランダムに生成されたコンテンツを含むディレクトリを除外できます。

GitHub.com で、リポジトリのメインページへ移動します。 1. ファイルの一覧の上にある、 [ファイルの追加] ドロップダウンを選んで、 [新しいファイルの作成] をクリックします。
ファイル名フィールドに「 .github/secret_scanning.yml」と入力します。
[新しいファイルの編集] で、paths-ignore: と入力してから、secret scanningから除外するパスを入力します。
```
paths-ignore:
  - "foo/bar/*.js"
```
* などの特殊文字を使用して、パスをフィルター処理することができます。フィルターパターンの詳細については、「GitHub Actions のワークフロー構文」を参照してください。
注:
- paths-ignore に 1,000 を超えるエントリがある場合、secret scanningでは、最初の 1,000 個のディレクトリのみがスキャンから除外されます。
- secret_scanning.yml が 1 MB を超える場合、secret scanningではファイル全体を無視します。

secret scanning からの個々のアラートを無視することもできます。詳しくは、「シークレットスキャンからのアラートの管理」を参照してください。