Skip to main content

シークレット スキャンからのアラートの解決

シークレット スキャン アラートの詳細を確認したら、修正してからアラートを閉じる必要があります。

この機能を使用できるユーザーについて

リポジトリの所有者、組織の所有者、セキュリティ マネージャー、および 管理者 ロールを持つユーザー

アラートの修正

シークレットがリポジトリにコミットされたら、シークレットが侵害されたと考える必要があります。 GitHub は、侵害されたシークレットに対して次のアクションを行うことをおすすめします:

  • GitHub にコミットされたシークレットが有効であることを確認します。 GitHub トークンにのみ適用されます。 「シークレットの有効性の確認」を参照してください。
  • 古いトークンを使用するすべてのサービスを確認して更新します。 GitHub personal access token の場合は、侵害されたトークンを削除し、新しいトークンを作成します。 「個人用アクセス トークンを管理する」をご覧ください。
  • シークレット プロバイダーに応じて、承認されていないアクティビティがないかセキュリティ ログを確認します。

シークレットが GitHub の パブリック リポジトリで検出され、シークレットがサポートされているパートナー パターンにも一致する場合は、潜在的なシークレットがサービス プロバイダーに 自動的に報告されます。 すべてのサポートされているパートナー パターンの詳細については、「サポートされているシークレット スキャン パターン」を参照してください。

アラートの終了

Note

Secret scanning は、対応するトークンがリポジトリから削除された場合、アラートを自動的に閉じることはありません。 これらのアラートは、GitHub のアラート リストから手動で閉じる必要があります。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。

  3. 左側のサイドバーの [Vulnerability alerts] (脆弱性アラート) で、 [Secret scanning] をクリックします。

  4. [Secret scanning]で、表示するアラートをクリックします。

  5. アラートを無視するには、[次の状態として閉じる] ドロップダウン メニューを選び、アラートを解決する理由をクリックします。

    secret scanning アラートのスクリーンショット。 [閉じる] というタイトルのドロップダウン メニューが展開され、濃いオレンジ色の枠線で強調表示されています。

  6. 必要に応じて、[コメント] フィールドに無視のコメントを追加します。 無視のコメントはアラート タイムラインに追加され、監査と報告の間に正当な理由として使用できます。 アラート タイムラインで、すべての無視されたアラートと無視コメントの履歴を確認できます。 また、Secret scanning API を使って、コメントを取得または設定することもできます。 コメントは resolution_comment フィールドに含まれています。 詳しくは、REST API ドキュメントの「シークレット スキャン用の REST API エンドポイント」をご覧ください。

  7. [アラートをクローズする] をクリックします。

次のステップ