Skip to main content

シークレット スキャン アラートについて

さまざまな種類の シークレット スキャンニング アラート について説明します。

この機能を使用できるユーザーについて

People with admin access to a public repository can manage シークレット スキャンニング アラート for the repository.

パートナーに対するシークレット スキャンニング アラート はパブリック リポジトリとパブリック npm パッケージで自動的に実行され、GitHub で漏洩したシークレットについてサービス プロバイダーに通知します。

ユーザーに対するシークレット スキャンニング アラート は、すべての パブリック リポジトリで無料で利用できます。 GitHub Enterprise Cloud を使い、GitHub Advanced Security のライセンスを持っている組織は、プライベート リポジトリと内部リポジトリに対して ユーザーに対するシークレット スキャンニング アラート を有効にすることもできます。

企業が GitHub Advanced Security のライセンスを持っている場合、 詳細については、「シークレット スキャン アラートについて」と「GitHub Advanced Security について」を参照してください。

GitHub Advanced Security で GitHub Enterprise を無料で試す方法の詳細については、「GitHub Enterprise Cloud のトライアルを設定する」と GitHub Enterprise Cloud ドキュメントの「GitHub Advanced Security の無料試用版を設定する」を参照してください。

アラートの種類について

3 型の シークレット スキャンニング アラート があります。

  • ユーザー アラート: リポジトリでサポートされているシークレットが検出されると、リポジトリの [セキュリティ] タブでユーザーに報告されます。
  • プッシュ保護アラート: 共同作成者がプッシュ保護をバイパスすると、リポジトリの [セキュリティ] タブでユーザーに報告されます。
  • パートナー アラート: secret scanning のパートナーのプログラムの一部であるシークレット プロバイダに直接報告されます。 これらのアラートは、リポジトリの [セキュリティ] タブには報告されません。

ユーザー アラート について

secret scanning が有効になっているリポジトリで、GitHub がサポートされているシークレットを検出すると、ユーザー アラートが生成され、リポジトリの [セキュリティ] タブに表示されます。

リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。

プッシュ保護アラートについて

プッシュ保護は、サポートされているシークレットのプッシュをスキャンします。 プッシュ保護は、サポートされているシークレットを検出すると、プッシュをブロックします。 共同作成者がプッシュ保護をバイパスしてシークレットをリポジトリにプッシュすると、プッシュ保護アラートが生成され、リポジトリの [セキュリティ] タブに表示されます。 リポジトリのすべてのプッシュ保護アラートを表示するには、アラート ページで bypassed: true によってフィルター処理する必要があります。 詳しくは、「シークレット スキャンからのアラートの表示とフィルター処理」を参照してください。

リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。

Note

また、"ユーザーのプッシュ保護" と呼ばれる個人用アカウントのプッシュ保護を有効にすることもできます。これにより、サポートされているシークレットが誤って 任意 のパブリック リポジトリにプッシュされるのを防ぐことができます。 ユーザー ベースのプッシュ保護のみをバイパスすることを選択した場合、アラートは 作成されません。 アラートは、リポジトリ自体でプッシュ保護が有効になっている場合にのみ作成されます。 詳しくは、「ユーザーのプッシュ保護」をご覧ください。

以前のバージョンの特定のトークンは、プッシュ保護によってサポートされない場合があります。これらのトークンでは、最新バージョンよりも多くの誤検知が生成される可能性があるためです。 プッシュ保護は、レガシ トークンにも適用されない場合があります。 Azure Storage キーなどのトークンの場合、GitHub では、レガシ パターンに一致するトークンではなく、''最近作成された'' トークンのみがサポートされます。__プッシュ保護の制限事項について詳しくは、「シークレット スキャンのトラブルシューティング」を参照してください。

パートナー アラートについて

GitHub がパブリック リポジトリまたは npm パッケージで漏洩したシークレットを検出すると、アラートは、GitHub のシークレット スキャン パートナー プログラムの一部である場合、シークレット プロバイダーに直接送信されます。 パートナーに対するシークレット スキャンニング アラート について詳しくは、「Secret scanningパートナープログラム」および「サポートされているシークレット スキャン パターン」を参照してください。

パートナーのアラートはリポジトリ管理者に送信されないため、この種類のアラートに対して何らかのアクションを実行する必要はありません。

次の手順

参考資料