Skip to main content
ドキュメントへの更新が頻繁に発行されており、このページの翻訳はまだ行われている場合があります。 最新の情報については、「英語のドキュメント」を参照してください。

secret scanning パターン

サポートされているシークレットと、誤ってコミットされたシークレットの不正使用を防ぐために GitHub が連携するパートナーの一覧。

パートナーに対するシークレット スキャン アラート はパブリック リポジトリで自動的に実行され、GitHub.com で漏洩したシークレットについてサービス プロバイダーに通知します。

ユーザーに対するシークレット スキャン アラート は、すべてのパブリック リポジトリで無料で利用できます。 GitHub Enterprise Cloud を使い、GitHub Advanced Security のライセンスを持っている組織は、プライベート リポジトリと内部リポジトリに対して ユーザーに対するシークレット スキャン アラート を有効にすることもできます。 詳細については、「シークレット スキャンについて」と「GitHub Advanced Security について」を参照してください。

secret scanning パターンについて

GitHub では、secret scanning パターンの次のさまざまなセットが保持されています。

  1. パートナー パターン。 すべてのパブリック リポジトリで潜在的なシークレットを検出するために使われます。

  2. ユーザー アラート パターン。 ユーザーに対するシークレット スキャン アラート が有効になっているパブリック リポジトリ内の潜在的なシークレットを検出するために使用されます。 詳細については、「ユーザー アラートでサポートされているシークレット」を参照してください。

    公開リポジトリの所有者と、GitHub Enterprise Cloud と GitHub Advanced Security を使っている組織は、リポジトリで ユーザーに対するシークレット スキャン アラート を有効にすることができます。 これらのパターンの詳細については、以下の「ユーザー アラートでサポートされるシークレット」セクションを参照してください。

secret scanning でリポジトリにコミットされたシークレットを検出する必要があると思われ、そうでない場合は、まず GitHub でシークレットがサポートされていることを確認する必要があります。 詳しくは、以下のセクションを参照してください。 より高度なトラブルシューティング情報については、「シークレット スキャンのトラブルシューティング」をご覧ください。

パートナー アラートでサポートされるシークレット

現在、GitHub では、パブリック リポジトリで次のサービス プロバイダーによって発行されたシークレットをスキャンし、コミットでシークレットが検出されるたびに関連するサービス プロバイダーに警告します。 パートナーに対するシークレット スキャン アラート について詳しくは、「シークレット スキャンについて」を参照してください。

リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。

Partnerサポートされているシークレット

ユーザー アラートでサポートされているシークレット

ユーザーに対するシークレット スキャン アラート が有効になっている場合、GitHub はリポジトリで、次のサービス プロバイダーによって発行されたシークレットをスキャンし、シークレット スキャン アラート を生成します。 これらのアラートは、リポジトリの [セキュリティ] タブに表示されます。 ユーザーに対するシークレット スキャン アラート について詳しくは、「シークレット スキャンについて」を参照してください。

リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。

secret scanning に REST API を使う場合は、Secret type を使って特定の発行者からのシークレットについて報告できます。 詳しくは、「シークレット スキャン」を参照してください。

プロバイダーサポートされているシークレットシークレットの種類

参考資料