Skip to main content
ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

リポジトリのシークレットスキャンを設定する

高度なセキュリティパターンにマッチするシークレットを探してGitHubがどのようにリポジトリをスキャンするかを設定できます。

People with admin permissions to a repository can enable >- secret scanning for advanced security for the repository.

Secret scanning for advanced security is available for organization-owned repositories in GitHub Enterprise Cloud if your enterprise has a license for GitHub Advanced Security. For more information, see "GitHub's products."

>- secret scanning for advanced security の有効化

  • secret scanning for advanced securityは、Organizationが所有する任意のリポジトリで有効化できます。 有効化されると、secret scanningはGitHubリポジトリ中に存在するすべてのブランチのGit履歴全体に対して、あらゆるシークレットをスキャンします。
  1. GitHub.comで、リポジトリのメインページにアクセスしてください。

  2. リポジトリ名の下で Settings(設定)をクリックしてください。 リポジトリの設定ボタン

  3. In the "Security" section of the sidebar, click Code security and analysis.

  4. If Advanced Securityがまだリポジトリで有効化されていなければ、"GitHub Advanced Security" の右でEnable(有効化)をクリックしてください。 リポジトリに対して GitHub Advanced Security を有効化する

  5. Advanced Securityの有効化の影響をレビューしてから、Enable GitHub Advanced Security for this repository(このリポジトリで有効化)をクリックしてください。

  6. Advanced Securityを有効化すると、Organizationの設定によってはリポジトリでsecret scanningが自動的に有効化されることがあります。 [Secret scanning] と [Enable] ボタンが表示されている場合でも、[Enable] をクリックして secret scanning を有効化する必要があります。 [Disable] ボタンが表示されている場合、secret scanning はすでに有効化されています。 リポジトリに対して secret scanning を有効化する

  7. あるいは、プッシュ保護を有効化したい場合は、"Push protection(プッシュ保護)"の右にあるEnable(有効化)をクリックしてください。 When you enable push protection, secret scanning also checks pushes for high-confidence secrets (those identified with a low false positive rate). Secret scanning lists any secrets it detects so the author can review the secrets and remove them or, if needed, allow those secrets to be pushed. 詳しい情報については「secret scanningでのプッシュの保護」を参照してください。 リポジトリでのプッシュ保護の有効化

>- secret scanning for advanced securityからのディレクトリの除外

secret_scanning.yml ファイルを使用して、secret scanning からディレクトリを除外できます。 たとえば、テストまたはランダムに生成されたコンテンツを含むディレクトリを除外できます。

  1. GitHub.comで、リポジトリのメインページにアクセスしてください。

  2. ファイルのリストの上で、Add file(ファイルの追加)ドロップダウンを使い、Create new file(新規ファイルの作成をクリックしてください。 "ファイルの追加"ドロップダウン内の"新規ファイル作成"

  3. ファイル名フィールドに、.github/secret_scanning.yml と入力します。

  4. [Edit new file] に paths-ignore: と入力してから、secret scanning から除外するパスを入力します。

    paths-ignore:
      - "foo/bar/*.js"
    

    * などの特殊文字を使用して、パスをフィルタできます。 フィルタパターンに関する詳しい情報については、「GitHub Actionsのワークフロー構文」を参照してください。

    ノート:

    • paths-ignore に 1,000 以上のエントリがある場合、secret scanning は最初の 1,000 ディレクトリのみをスキャン対象から除外します。
    • secret_scanning.yml が 1MB 以上ある場合、secret scanning はファイル全体を無視します。

secret scanning からの個々のアラートを無視することもできます。 詳しい情報については、「secret scanning からのアラートを管理する」を参照してください。

参考リンク