Skip to main content
ドキュメントへの更新が頻繁に発行されており、このページの翻訳はまだ行われている場合があります。 最新の情報については、「英語のドキュメント」を参照してください。
All products
コードセキュリティ

シークレット スキャンからのアラートの管理

この記事の内容

リポジトリにチェックインしたシークレットのアラートを表示したりクローズしたりすることができます。

この機能を使用できるユーザー

People with admin access to a repository can view and dismiss secret scanning alerts for the repository.

パートナーに対するシークレット スキャン アラート はパブリック リポジトリとパブリック npm パッケージで自動的に実行され、GitHub.com で漏洩したシークレットについてサービス プロバイダーに通知します。

ユーザーに対するシークレット スキャン アラート は、すべてのパブリック リポジトリで無料で利用できます。 GitHub Enterprise Cloud を使い、GitHub Advanced Security のライセンスを持っている組織は、プライベート リポジトリと内部リポジトリに対して ユーザーに対するシークレット スキャン アラート を有効にすることもできます。 詳細については、「シークレット スキャンについて」と「GitHub Advanced Security について」を参照してください。

シークレット スキャン アラート を管理する

注: アラートは、ユーザーに対するシークレット スキャン アラート が有効になっているリポジトリに対してのみ作成されます。 無料の パートナーに対するシークレット スキャン アラート サービスを使っているパブリック リポジトリで見つかったシークレットはパートナーに直接報告され、アラートは作成されません。 詳しくは、「secret scanning パターン」を参照してください。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。 タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。

  2. 左側のサイドバーの [Vulnerability alerts] (脆弱性アラート) で、 [Secret scanning] をクリックします。

  3. [Secret scanning] で、表示するアラートをクリックします。

  4. 必要に応じて、漏えいしたシークレットが GitHub トークンの場合は、シークレットの有効性を確認し、修復手順を実行します。

    GitHub トークンの UI のスクリーンショット。有効性チェックと推奨される修復手順が表示されています。

    注: GitHub トークンの有効性チェックは現在パブリック ベータ版であり、変更される可能性があります。

    GitHub からは、GitHub トークンについてのみ、シークレットの有効性に関する情報が提供されます。

    有効期限までの日数結果
    アクティブなシークレットGitHub は、このシークレットがアクティブであることを確認しました
    アクティブなシークレットGitHub はこのシークレットのプロバイダーでチェックし、シークレットがアクティブであることを確認しました
    アクティブである可能性があるシークレットGitHub は、このトークンの種類の有効性チェックをまだサポートしていません
    アクティブである可能性があるシークレットGitHub はこのシークレットを検証できませんでした
    非アクティブとみられるシークレット未承認のアクセスが既に行われていないことを確認する必要があります

  5. アラートを無視するには、[次の状態として閉じる] ドロップダウン メニューを選び、アラートを解決する理由をクリックします。

    secret scanning アラートのスクリーンショット。 [閉じる] というタイトルのドロップダウン メニューが展開され、濃いオレンジ色の枠線で強調表示されています。

  6. 必要に応じて、[コメント] フィールドに無視のコメントを追加します。 無視のコメントはアラート タイムラインに追加され、監査と報告の間に正当な理由として使用できます。 アラート タイムラインで、すべての無視されたアラートと無視コメントの履歴を確認できます。 また、Secret scanning API を使って、コメントを取得または設定することもできます。 コメントは resolution_comment フィールドに含まれています。 詳しくは、REST API ドキュメントの「シークレット スキャン」をご覧ください。

  7. [アラートを閉じる] をクリックします。

侵害されたシークレットを保護する

シークレットがリポジトリにコミットされたら、シークレットが侵害されたと考える必要があります。 GitHub は、侵害されたシークレットに対して次のアクションを行うことをおすすめします。

  • 侵害された GitHub personal access token については、侵害されたトークンを削除し、新しいトークンを作成し、古いトークンを使っていたサービスを更新してください。 詳しくは、「個人用アクセス トークンの作成」を参照してください。

  • それ以外のすべてのシークレットについては、最初に GitHub Enterprise Cloud にコミットされたシークレットが有効であることを確認してください。 有効な場合は、新しいシークレットを作成し、古いシークレットを使用するサービスをすべて更新して、古いシークレットを削除します。

注: シークレットが GitHub.com のパブリック リポジトリで検出され、シークレットもパートナー パターンと一致する場合は、アラートが生成され、可能性のあるシークレットがサービス プロバイダーに報告されます。 パートナー パターンの詳細については、「secret scanning パターン」を参照してください。

シークレット スキャン アラート の通知を構成する

新しいシークレットが検出されると GitHub Enterprise Cloud によって、通知設定に従ってリポジトリのセキュリティ アラートにアクセスできるすべてのユーザーに通知されます。 次の場合に、電子メール通知を受け取ります。

  • リポジトリをウォッチしている。
  • リポジトリ で [すべてのアクティビティ]、またはカスタムの [セキュリティ アラート] の通知を有効にしている。
  • 通知設定にある [サブスクリプション] の [ウォッチ] で、電子メールによる通知を受け取ることを選んだ。

また、シークレットを含むコミットの作成者であり、リポジトリを無視していない場合にも通知されます。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。

  2. リポジトリのウォッチを開始するには、 ウォッチを選びます。

    リポジトリのメイン ページのスクリーンショット。 [ウォッチ] というタイトルが付いたドロップダウン メニューがオレンジ色の枠線で強調表示されています。

  3. ドロップダウン メニューで、 [すべてのアクティビティ] を選びます。 または、セキュリティ アラートのみをサブスクライバーにする場合は、 [カスタム] を選び、 [セキュリティ アラート] を選びます。

  4. 個人用アカウントの通知設定に移動します。 https://github.com/settings/notifications で利用できます。

  5. 通知設定のページの、[サブスクリプション] にある [視聴] で、 [通知する] ドロップダウンを選びます。

  6. 通知方法として [Email] を選び、 [保存] を選びます。

    ユーザー アカウントの通知設定のスクリーンショット。 "サブスクリプション" というタイトルの要素ヘッダーと、"ウォッチ中" というタイトルのサブヘッダーが表示されています。 [Email] というチェックボックスがオレンジ色の枠線で強調されています。

詳細については、「リポジトリのセキュリティと分析設定を管理する」と「個々のリポジトリのウォッチ設定の構成」を参照してください。

シークレット スキャン アラートへの応答の監査

GitHub ツールを使用して、secret scanning アラートに応答して実行されたアクションを監査できます。 詳しくは、「セキュリティ アラートの監査」を参照してください。