Skip to main content

シークレット スキャンからのアラートの管理

リポジトリにチェックインしたシークレットのアラートを表示したりクローズしたりすることができます。

Who can use this feature

People with admin access to a repository can view and dismiss secret scanning alerts for the repository.

Secret scanning alerts for partners はすべてのパブリック リポジトリで自動的に実行されます。 GitHub Advanced Security のライセンスをお持ちの場合は、Organization が所有するすべてのリポジトリに secret scanning alerts for users を有効化および構成できます。 詳細については、「secret scanning alerts for users について」と「GitHub Advanced Security について」を参照してください。

secret scanning alerts を管理する

注: アラートは、secret scanning alerts for users が有効になっているリポジトリに対してのみ作成されます。 無料の secret scanning alerts for partners サービスを使っているパブリック リポジトリで見つかったシークレットはパートナーに直接報告され、アラートは作成されません。 詳細については、「パートナー アラートでサポートされるシークレット」を参照してください。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブ

  2. 左側のサイドバーの [シークレット スキャンのアラート] をクリックします。 [シークレット スキャンのアラート] タブ

  3. [Secret scanning] の下で、表示するアラートをクリックします。 シークレット スキャンからのアラートの一覧

  4. アラートを無視するには、[アラートの無視] ドロップダウン メニューを選び、アラートを解決する理由をクリックします。

    パートナー ドキュメントへのリンクを示すシークレット スキャンからのアラートを無視するドロップダウン メニューのスクリーンショット

  5. 必要に応じて、無視のコメントを追加します。 無視のコメントはアラート タイムラインに追加され、監査と報告の間に正当な理由として使用できます。 アラート タイムラインで、すべての無視されたアラートと無視コメントの履歴を確認できます。 また、Secret scanning API を使って、コメントを取得または設定することもできます。 コメントは resolution_comment フィールドに含まれています。 詳細については、REST API ドキュメントの「Secret scanning」を参照してください。

    [アラートの無視] ドロップダウンでアラートを無視する方法と、無視コメントを追加するオプションを示すスクリーンショット

  6. [アラートを無視] をクリックします。

侵害されたシークレットを保護する

シークレットがリポジトリにコミットされたら、シークレットが侵害されたと考える必要があります。 GitHub は、侵害されたシークレットに対して次のアクションを行うことをおすすめします。

  • 侵害された GitHub personal access token については、侵害されたトークンを削除し、新しいトークンを作成し、古いトークンを使っていたサービスを更新してください。 詳細については、「コマンド ラインの personal access token の作成」を参照してください。

  • それ以外のすべてのシークレットについては、最初に GitHub Enterprise Cloud にコミットされたシークレットが有効であることを確認してください。 有効な場合は、新しいシークレットを作成し、古いシークレットを使用するサービスをすべて更新して、古いシークレットを削除します。

注: シークレットが GitHub.com のパブリック リポジトリで検出され、シークレットもパートナー パターンと一致する場合は、アラートが生成され、可能性のあるシークレットがサービス プロバイダーに報告されます。 パートナー パターンについて詳しくは、「パートナー アラートでサポートされるシークレット」をご覧ください。

secret scanning alerts の通知を構成する

新しいシークレットが検出されると GitHub Enterprise Cloud によって、通知設定に従ってリポジトリのセキュリティ アラートにアクセスできるすべてのユーザーに通知されます。 あなたがリポジトリを監視している場合、セキュリティ アラートまたはリポジトリ上のすべてのアクティビティの通知を有効にしている場合、またはシークレットを含むコミットの作成者でリポジトリを無視していない場合は、メール通知を受け取ります。

詳細については、「リポジトリのセキュリティと分析の設定を管理する」と通知の構成に関するページを参照してください。