アラートの修正
シークレットがリポジトリにコミットされたら、シークレットが侵害されたと考える必要があります。 GitHub は、侵害されたシークレットに対して次のアクションを行うことをおすすめします:
- GitHub にコミットされたシークレットが有効であることを確認します。 GitHub トークンにのみ適用されます。 「シークレットの有効性の確認」を参照してください。
- 古いトークンを使用するすべてのサービスを確認して更新します。 GitHub personal access token の場合は、侵害されたトークンを削除し、新しいトークンを作成します。 「個人用アクセス トークンを管理する」をご覧ください。
- シークレット プロバイダーに応じて、承認されていないアクティビティがないかセキュリティ ログを確認します。
シークレットが GitHub の パブリック リポジトリで検出され、シークレットがサポートされているパートナー パターンにも一致する場合は、潜在的なシークレットがサービス プロバイダーに 自動的に報告されます。 すべてのサポートされているパートナー パターンの詳細については、「サポートされているシークレット スキャン パターン」を参照してください。
アラートの終了
Note
Secret scanning は、対応するトークンがリポジトリから削除された場合、アラートを自動的に閉じることはありません。 これらのアラートは、GitHub のアラート リストから手動で閉じる必要があります。
-
GitHub で、リポジトリのメイン ページに移動します。
-
リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。
-
左側のサイドバーの [Vulnerability alerts] (脆弱性アラート) で、 [Secret scanning] をクリックします。
-
[Secret scanning]で、表示するアラートをクリックします。
-
アラートを無視するには、[次の状態として閉じる] ドロップダウン メニューを選び、アラートを解決する理由をクリックします。
-
必要に応じて、[コメント] フィールドに無視のコメントを追加します。 無視のコメントはアラート タイムラインに追加され、監査と報告の間に正当な理由として使用できます。 アラート タイムラインで、すべての無視されたアラートと無視コメントの履歴を確認できます。 また、Secret scanning API を使って、コメントを取得または設定することもできます。 コメントは
resolution_comment
フィールドに含まれています。 詳しくは、REST API ドキュメントの「シークレット スキャン用の REST API エンドポイント」をご覧ください。 -
[アラートをクローズする] をクリックします。