secret scanning パターンについて
GitHub では、既定の secret scanning パターンの次のさまざまなセットが保持されています。
-
パートナー パターン。 すべてのパブリック リポジトリとパブリック npm パッケージにある可能性のあるシークレットを検出するために使用されます。 パートナー プログラムについては、「Secret scanningパートナープログラム」を参照してください。
-
ユーザー アラート パターン。 ユーザーに対するシークレット スキャン アラート が有効になっているパブリック リポジトリ内の潜在的なシークレットを検出するために使用されます。
-
プッシュ保護パターン。 プッシュ保護として secret scanning が有効になっているリポジトリで潜在的なシークレットを検出するために使われます。
公開リポジトリの所有者と、GitHub Enterprise Cloud と GitHub Advanced Security を使っている組織は、リポジトリで ユーザーに対するシークレット スキャン アラート を有効にすることができます。
サポートされているすべてのパターンについて詳しくは、以下の「サポートされているシークレット」セクションをご覧ください。
secret scanning でリポジトリにコミットされたシークレットを検出する必要があると思われ、そうでない場合は、まず GitHub でシークレットがサポートされていることを確認する必要があります。 詳しくは、以下のセクションを参照してください。 より高度なトラブルシューティング情報については、「シークレット スキャンのトラブルシューティング」をご覧ください。
パートナー アラートについて
パートナー アラートは、シークレット プロバイダーの 1 つに対してシークレット リークが報告されるたびに、シークレット プロバイダーに送信されるアラートです。 現在、GitHub では、特定のサービス プロバイダーが発行したシークレットをパブリック リポジトリとパブリック npm パッケージでスキャンし、コミットでシークレットが検出されるたびにそのサービス プロバイダーを警告します。 パートナーに対するシークレット スキャン アラート について詳しくは、「シークレット スキャンについて」を参照してください。
リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。
ユーザー アラートについて
ユーザー アラートは、GitHub のユーザーに報告されるアラートです。 ユーザーに対するシークレット スキャン アラート が有効になっている場合、GitHub ではリポジトリで、次のサービス プロバイダーによって発行されたシークレットがスキャンされ、シークレット スキャン アラート が生成されます。
これらのアラートは、リポジトリの [セキュリティ] タブに表示されます。 ユーザーに対するシークレット スキャン アラート について詳しくは、「シークレット スキャンについて」を参照してください。
リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。
secret scanning に REST API を使う場合は、Secret type を使って特定の発行者からのシークレットについて報告できます。 詳しくは、「シークレット スキャン」を参照してください。
プッシュ保護アラートについて
プッシュ保護アラートは、プッシュ保護によって報告されるユーザー アラートです。 プッシュ保護として Secret scanning では、現在、次のサービス プロバイダーによって発行されたシークレットのリポジトリがスキャンされます。
リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。
以前のバージョンの特定のトークンは、プッシュ保護によってサポートされない場合があります。これらのトークンでは、最新バージョンよりも多くの誤検知が生成される可能性があるためです。 プッシュ保護は、レガシ トークンにも適用されない場合があります。 Azure Storage キーなどのトークンの場合、GitHub では、レガシ パターンに一致するトークンではなく、''最近作成された'' トークンのみがサポートされます。__プッシュ保護の制限事項について詳しくは、「シークレット スキャンのトラブルシューティング」を参照してください。
サポートされているシークレット
次の表に、secret scanning でサポートされているシークレットの一覧を示します。 トークンごとに生成されるアラートの種類と、トークンに対して有効性チェックが実行されるかどうかを確認できます。
- プロバイダー - トークン プロバイダーの名前。
- パートナー - 関連するトークン パートナーにリークが報告されるトークン。 パブリック リポジトリにのみ適用されます。
- ユーザー - GitHub のユーザーにリークが報告されるトークン。 パブリック リポジトリと、GitHub Advanced Security が有効になっているプライベート リポジトリに適用されます。
- プッシュ保護 - GitHub のユーザーにリークが報告されるトークン。 secret scanning とプッシュ保護が有効になっているリポジトリに適用されます。
- 有効性チェック — 有効性チェックが実装されているトークン。 パートナー トークンの場合、トークンは関連パートナーに送信されます。
| プロバイダー | トークン | Partner | User | 有効性チェック |
|---|---|---|---|---|
| Adafruit IO | adafruit_io_key | |||
| Adobe | adobe_device_token | |||
| Adobe | adobe_jwt | |||
| Adobe | adobe_service_token | |||
| Adobe | adobe_short_lived_access_token | |||
| Aiven | aiven_auth_token | |||
| Aiven | aiven_service_password | |||
| Alibaba Cloud | alibaba_cloud_access_key_id alibaba_cloud_access_key_secret | |||
| Amazon | amazon_oauth_client_id amazon_oauth_client_secret | |||
| Amazon Web Services (AWS) | aws_access_key_id aws_secret_access_key | |||
| Amazon Web Services (AWS) | aws_session_token aws_temporary_access_key_id aws_secret_access_key | |||
| Asana | asana_personal_access_token | |||
| Atlassian | atlassian_api_token | |||
| Atlassian | atlassian_jwt | |||
| Atlassian | bitbucket_server_personal_access_token | |||
| Azure | azure_active_directory_application_secret | |||
| Azure | azure_batch_key_identifiable | |||
| Azure | azure_cache_for_redis_access_key | |||
| Azure | azure_cosmosdb_key_identifiable | |||
| Azure | azure_devops_personal_access_token | |||
| Azure | azure_function_key | |||
| Azure | azure_ml_web_service_classic_identifiable_key | |||
| Azure | azure_sas_token | |||
| Azure | azure_search_admin_key | |||
| Azure | azure_search_query_key | |||
| Azure | azure_management_certificate | |||
| Azure | azure_sql_connection_string | |||
| Azure | azure_storage_account_key | |||
| Beamer | beamer_api_key | |||
| Canadian Digital Service | cds_canada_notify_api_key | |||
| Checkout.com | checkout_production_secret_key | |||
| Checkout.com | checkout_test_secret_key | |||
| Chief Tools | chief_tools_token | |||
| Clojars | clojars_deploy_token | |||
| CloudBees CodeShip | codeship_credential | |||
| Contentful | contentful_personal_access_token | |||
| Contributed Systems | CONTRIBUTED_SYSTEMS_CREDENTIALS | |||
| crates.io (Rust Foundation) | cratesio_api_token | |||
| Databricks | databricks_access_token | |||
| Datadog | DATADOG_API_KEY | |||
| DevCycle | devcycle_client_api_key | |||
| DevCycle | devcycle_mobile_api_key | |||
| DevCycle | devcycle_server_api_key | |||
| DigitalOcean | digitalocean_oauth_token | |||
| DigitalOcean | digitalocean_personal_access_token | |||
| DigitalOcean | digitalocean_refresh_token | |||
| DigitalOcean | digitalocean_system_token | |||
| Discord | discord_api_token_v2 | |||
| Discord | discord_bot_token | |||
| Doppler | doppler_audit_token | |||
| Doppler | doppler_cli_token | |||
| Doppler | doppler_personal_token | |||
| Doppler | doppler_scim_token | |||
| Doppler | doppler_service_token | |||
| Doppler | doppler_service_account_token | |||
| Dropbox | dropbox_access_token | |||
| Dropbox | dropbox_short_lived_access_token | |||
| Duffel | duffel_live_access_token | |||
| Duffel | duffel_test_access_token | |||
| Dynatrace | dynatrace_access_token | |||
| Dynatrace | dynatrace_internal_token | |||
| EasyPost | easypost_production_api_key | |||
| EasyPost | easypost_test_api_key | |||
| eBay | ebay_production_client_id ebay_production_client_secret | |||
| eBay | ebay_sandbox_client_id ebay_sandbox_client_secret | |||
| Fastly | fastly_api_token | |||
| Figma | figma_pat | |||
| Finicity | finicity_app_key | |||
| Flutterwave | flutterwave_live_api_secret_key | |||
| Flutterwave | flutterwave_test_api_secret_key | |||
| Frame.io | frameio_developer_token | |||
| Frame.io | frameio_jwt | |||
| FullStory | fullstory_api_key | |||
| GitHub | github_app_installation_access_token | |||
| GitHub | github_oauth_access_token | |||
| GitHub | github_personal_access_token | |||
| GitHub | github_refresh_token | |||
| GitHub | github_ssh_private_key | |||
| GitLab | gitlab_access_token | |||
| GoCardless | gocardless_live_access_token | |||
| GoCardless | gocardless_sandbox_access_token | |||
| firebase_cloud_messaging_server_key | ||||
| google_cloud_storage_service_account_access_key_id google_cloud_storage_access_key_secret | ||||
| google_cloud_storage_user_access_key_id google_cloud_storage_access_key_secret | ||||
| google_oauth_access_token | ||||
| google_oauth_client_id google_oauth_client_secret | ||||
| google_oauth_refresh_token | ||||
| Google Cloud | google_api_key | |||
| Google Cloud | google_cloud_private_key_id | |||
| Grafana | grafana_cloud_api_key | |||
| Grafana | grafana_cloud_api_token | |||
| Grafana | grafana_project_api_key | |||
| Grafana | grafana_project_service_account_token | |||
| HashiCorp | hashicorp_vault_batch_token | |||
| HashiCorp | hashicorp_vault_batch_token | |||
| HashiCorp | hashicorp_vault_root_service_token | |||
| HashiCorp | hashicorp_vault_root_service_token | |||
| HashiCorp | hashicorp_vault_service_token | |||
| HashiCorp | hashicorp_vault_service_token | |||
| Hashicorp Terraform | terraform_api_token | |||
| Highnote | highnote_rk_live_key | |||
| Highnote | highnote_rk_test_key | |||
| Highnote | highnote_sk_live_key | |||
| Highnote | highnote_sk_test_key | |||
| Hubspot | hubspot_api_key | |||
| Hubspot | hubspot_api_personal_access_key | |||
| Intercom | intercom_access_token | |||
| Ionic | ionic_personal_access_token | |||
| Ionic | ionic_refresh_token | |||
| JD Cloud | jd_cloud_access_key | |||
| JFrog | jfrog_platform_access_token | |||
| JFrog | jfrog_platform_api_key | |||
| Linear | linear_api_key | |||
| Linear | linear_oauth_access_token | |||
| Lob | lob_live_api_key | |||
| Lob | lob_test_api_key | |||
| LocalStack | localstack_api_key | |||
| LogicMonitor | logicmonitor_bearer_token | |||
| LogicMonitor | logicmonitor_lmv1_access_key | |||
| Mailchimp | mailchimp_api_key | |||
| Mailchimp | MANDRILL_API | |||
| Mailgun | mailgun_api_key | |||
| Mapbox | mapbox_secret_access_token | |||
| MessageBird | messagebird_api_key | |||
| Meta | facebook_access_token | |||
| Midtrans | midtrans_production_server_key | |||
| Midtrans | midtrans_sandbox_server_key | |||
| New Relic | new_relic_insights_query_key | |||
| New Relic | new_relic_license_key | |||
| New Relic | new_relic_personal_api_key | |||
| New Relic | new_relic_rest_api_key | |||
| Notion | notion_integration_token | |||
| Notion | notion_oauth_client_secret | |||
| npm | npm_access_token | |||
| NuGet | nuget_api_key | |||
| Octopus Deploy | octopus_deploy_api_key | |||
| Oculus | oculus_very_tiny_encrypted_session | |||
| Onfido | onfido_live_api_token | |||
| Onfido | onfido_sandbox_api_token | |||
| OpenAI | openai_api_key | |||
| Palantir | palantir_jwt | |||
| Persona | persona_production_api_key | |||
| Persona | persona_sandbox_api_key | |||
| PlanetScale | planetscale_database_password | |||
| PlanetScale | planetscale_oauth_token | |||
| PlanetScale | planetscale_service_token | |||
| Plivo | plivo_auth_id plivo_auth_token | |||
| Postman | postman_api_key | |||
| Postman | postman_collection_key | |||
| Prefect | prefect_server_api_key | |||
| Prefect | prefect_user_api_key | |||
| Prefect | PREFECT_USER_API_TOKEN | |||
| Proctorio | proctorio_consumer_key | |||
| Proctorio | proctorio_linkage_key | |||
| Proctorio | proctorio_registration_key | |||
| Proctorio | proctorio_secret_key | |||
| Pulumi | pulumi_access_token | |||
| PyPI | pypi_api_token | |||
| ReadMe | readmeio_api_access_token | |||
| redirect.pizza | redirect_pizza_api_token | |||
| Rootly | rootly_api_key | |||
| RubyGems | rubygems_api_key | |||
| Samsara | samsara_api_token | |||
| Samsara | samsara_oauth_access_token | |||
| Segment | segment_public_api_token | |||
| SendGrid | sendgrid_api_key | |||
| Sendinblue | sendinblue_api_key | |||
| Sendinblue | sendinblue_smtp_key | |||
| Shippo | shippo_live_api_token | |||
| Shippo | shippo_test_api_token | |||
| Shopify | shopify_access_token | |||
| Shopify | shopify_app_client_credentials | |||
| Shopify | shopify_app_client_secret | |||
| Shopify | shopify_app_shared_secret | |||
| Shopify | shopify_custom_app_access_token | |||
| Shopify | shopify_marketplace_token | |||
| Shopify | shopify_merchant_token | |||
| Shopify | shopify_partner_api_token | |||
| Shopify | shopify_private_app_password | |||
| Slack | slack_api_token | |||
| Slack | slack_incoming_webhook_url | |||
| Slack | slack_workflow_webhook_url | |||
| Square | square_access_token | |||
| Square | square_production_application_secret | |||
| Square | square_sandbox_application_secret | |||
| SSLMate | sslmate_api_key | |||
| SSLMate | sslmate_cluster_secret | |||
| Stripe | stripe_live_restricted_key | |||
| Stripe | stripe_api_key | |||
| Stripe | stripe_legacy_api_key | |||
| Stripe | stripe_test_restricted_key | |||
| Stripe | stripe_test_secret_key | |||
| Stripe | stripe_webhook_signing_secret | |||
| Supabase | supabase_service_key | |||
| Tableau | tableau_personal_access_token | |||
| Telegram | telegram_bot_token | |||
| Telnyx | telnyx_api_v2_key | |||
| Tencent Cloud | tencent_cloud_secret_id | |||
| Tencent WeChat | tencent_wechat_api_app_id | |||
| Twilio | twilio_access_token | |||
| Twilio | twilio_account_sid | |||
| Twilio | twilio_api_key | |||
| Typeform | typeform_personal_access_token | |||
| Uniwise | wiseflow_api_key | |||
| WakaTime | wakatime_pp_secret | |||
| WakaTime | wakatime_oauth_access_token | |||
| WakaTime | wakatime_oauth_refresh_token | |||
| WorkOS | workos_production_api_key | |||
| WorkOS | workos_staging_api_key | |||
| Yandex | yandex_iam_access_secret | |||
| Yandex | yandex_cloud_api_key | |||
| Yandex | yandex_cloud_iam_cookie | |||
| Yandex | yandex_cloud_iam_token | |||
| Yandex | yandex_dictionary_api_key | |||
| Yandex | YANDEX_PASSPORT_OAUTH_TOKEN | |||
| Yandex | yandex_predictor_api_key | |||
| Yandex | yandex_translate_api_key | |||
| Zuplo | zuplo_consumer_api_key |