secret scanning alerts を管理する
注: アラートは、secret scanning alerts for users が有効になっているリポジトリに対してのみ作成されます。 無料の secret scanning alerts for partners サービスを使っているパブリック リポジトリで見つかったシークレットはパートナーに直接報告され、アラートは作成されません。 詳細については、「パートナー アラートでサポートされるシークレット」を参照してください。
-
GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下にある [ セキュリティ] をクリックします。
-
左側のサイドバーの [シークレット スキャンのアラート] をクリックします。
-
[Secret scanning] の下で、表示するアラートをクリックします。
-
アラートを無視するには、[アラートの無視] ドロップダウン メニューを選び、アラートを解決する理由をクリックします。
-
必要に応じて、無視のコメントを追加します。 無視のコメントはアラート タイムラインに追加され、監査と報告の間に正当な理由として使用できます。 アラート タイムラインで、すべての無視されたアラートと無視コメントの履歴を確認できます。 また、Secret scanning API を使って、コメントを取得または設定することもできます。 コメントは
resolution_comment
フィールドに含まれています。 詳細については、REST API ドキュメントの「Secret scanning」を参照してください。 -
[アラートを無視] をクリックします。
侵害されたシークレットを保護する
シークレットがリポジトリにコミットされたら、シークレットが侵害されたと考える必要があります。 GitHub は、侵害されたシークレットに対して次のアクションを行うことをおすすめします。
-
侵害された GitHub personal access token については、侵害されたトークンを削除し、新しいトークンを作成し、古いトークンを使っていたサービスを更新してください。 詳細については、「コマンド ラインの personal access token の作成」を参照してください。
- 組織が企業アカウント所有の場合、企業のリソースで侵害されたトークンで行われた行動を特定します。 詳細については、「アクセス トークンによって実行された監査ログ イベントの特定」を参照してください。
-
それ以外のすべてのシークレットについては、最初に GitHub Enterprise Cloud にコミットされたシークレットが有効であることを確認してください。 有効な場合は、新しいシークレットを作成し、古いシークレットを使用するサービスをすべて更新して、古いシークレットを削除します。
注: シークレットが GitHub.com のパブリック リポジトリで検出され、シークレットもパートナー パターンと一致する場合は、アラートが生成され、可能性のあるシークレットがサービス プロバイダーに報告されます。 パートナー パターンについて詳しくは、「パートナー アラートでサポートされるシークレット」をご覧ください。
secret scanning alerts の通知を構成する
新しいシークレットが検出されると GitHub Enterprise Cloud によって、通知設定に従ってリポジトリのセキュリティ アラートにアクセスできるすべてのユーザーに通知されます。 あなたがリポジトリを監視している場合、セキュリティ アラートまたはリポジトリ上のすべてのアクティビティの通知を有効にしている場合、またはシークレットを含むコミットの作成者でリポジトリを無視していない場合は、メール通知を受け取ります。
詳細については、「リポジトリのセキュリティと分析の設定を管理する」と通知の構成に関するページを参照してください。