Skip to main content

シークレット スキャン アラートについて

さまざまな種類の シークレット スキャンニング アラート について説明します。

この機能を使用できるユーザーについて

リポジトリの所有者、組織の所有者、セキュリティ マネージャー、および 管理者 ロールを持つユーザー

Secret scanning は、次のリポジトリに使うことができます:

  • パブリック リポジトリ (無料)
  • GitHub Advanced Security が有効な で GitHub Enterprise Cloud を使用している組織のプライベート リポジトリと内部リポジトリ
  • Enterprise Managed Users の GitHub Enterprise Cloud のユーザー所有リポジトリ

アラートの種類について

3 型の シークレット スキャンニング アラート があります。

  • ユーザー アラート: リポジトリでサポートされているシークレットが検出されると、リポジトリの [セキュリティ] タブでユーザーに報告されます。
  • プッシュ保護アラート: 共同作成者がプッシュ保護をバイパスすると、リポジトリの [セキュリティ] タブでユーザーに報告されます。
  • パートナー アラート: secret scanning のパートナーのプログラムの一部であるシークレット プロバイダに直接報告されます。 これらのアラートは、リポジトリの [セキュリティ] タブには報告されません。

ユーザー アラート について

secret scanning が有効になっているリポジトリで、GitHub がサポートされているシークレットを検出すると、ユーザー アラートが生成され、リポジトリの [セキュリティ] タブに表示されます。

ユーザー アラートには、次の種類を指定できます。

  • サポートされているパターンと指定されたカスタム パターンに関連するデフォルトのアラート。
  • 誤検知またはテストで使用されるシークレットの割合が高くなる可能性のある試験的なアラート。

トリアージでより良いユーザー エクスペリエンスを実現するために、GitHub では、試験的なアラートをデフォルトのアラートとは別のリストに表示します。 詳しくは、「シークレット スキャンからのアラートの表示とフィルター処理」を参照してください。

リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。

プッシュ保護アラートについて

プッシュ保護は、サポートされているシークレットのプッシュをスキャンします。 プッシュ保護は、サポートされているシークレットを検出すると、プッシュをブロックします。 共同作成者がプッシュ保護をバイパスしてシークレットをリポジトリにプッシュすると、プッシュ保護アラートが生成され、リポジトリの [セキュリティ] タブに表示されます。 リポジトリのすべてのプッシュ保護アラートを表示するには、アラート ページで bypassed: true によってフィルター処理する必要があります。 詳しくは、「シークレット スキャンからのアラートの表示とフィルター処理」を参照してください。

リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。

Note

また、"ユーザーのプッシュ保護" と呼ばれる個人用アカウントのプッシュ保護を有効にすることもできます。これにより、サポートされているシークレットが誤って 任意 のパブリック リポジトリにプッシュされるのを防ぐことができます。 ユーザー ベースのプッシュ保護のみをバイパスすることを選択した場合、アラートは 作成されません。 アラートは、リポジトリ自体でプッシュ保護が有効になっている場合にのみ作成されます。 詳しくは、「ユーザーのプッシュ保護」をご覧ください。

以前のバージョンの特定のトークンは、プッシュ保護によってサポートされない場合があります。これらのトークンでは、最新バージョンよりも多くの誤検知が生成される可能性があるためです。 プッシュ保護は、レガシ トークンにも適用されない場合があります。 Azure Storage キーなどのトークンの場合、GitHub では、レガシ パターンに一致するトークンではなく、''最近作成された'' トークンのみがサポートされます。__プッシュ保護の制限事項について詳しくは、「シークレット スキャンのトラブルシューティング」を参照してください。

パートナー アラートについて

GitHub がパブリック リポジトリまたは npm パッケージで漏洩したシークレットを検出すると、アラートは、GitHub のシークレット スキャン パートナー プログラムの一部である場合、シークレット プロバイダーに直接送信されます。 パートナーに対するシークレット スキャンニング アラート について詳しくは、「Secret scanningパートナープログラム」および「サポートされているシークレット スキャン パターン」を参照してください。

パートナーのアラートはリポジトリ管理者に送信されないため、この種類のアラートに対して何らかのアクションを実行する必要はありません。

次の手順

参考資料