シークレット スキャン アラートについて

アラートの種類について

3 型の シークレット スキャンニング アラート があります。

• ユーザー アラート: リポジトリでサポートされているシークレットが検出されると、リポジトリの [セキュリティ] タブでユーザーに報告されます。
• プッシュ保護アラート: 共同作成者がプッシュ保護をバイパスすると、リポジトリの [セキュリティ] タブでユーザーに報告されます。
• パートナー アラート: secret scanning のパートナーのプログラムの一部であるシークレット プロバイダに直接報告されます。 これらのアラートは、リポジトリの [セキュリティ] タブには報告されません。

ユーザー アラート について

secret scanning が有効になっているリポジトリで、GitHub がサポートされているシークレットを検出すると、ユーザー アラートが生成され、リポジトリの [セキュリティ] タブに表示されます。

ユーザー アラートには、次の種類を指定できます。

• サポートされているパターンと指定されたカスタム パターンに関連するデフォルトのアラート。
• 誤検知またはテストで使用されるシークレットの割合が高くなる可能性のある試験的なアラート。

トリアージでより良いユーザー エクスペリエンスを実現するために、GitHub では、試験的なアラートをデフォルトのアラートとは別のリストに表示します。 詳しくは、「シークレット スキャンからのアラートの表示とフィルター処理」をご覧ください。

リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。

プッシュ保護アラートについて

プッシュ保護は、サポートされているシークレットのプッシュをスキャンします。 プッシュ保護は、サポートされているシークレットを検出すると、プッシュをブロックします。 共同作成者がプッシュ保護をバイパスしてシークレットをリポジトリにプッシュすると、プッシュ保護アラートが生成され、リポジトリの [セキュリティ] タブに表示されます。 リポジトリのすべてのプッシュ保護アラートを表示するには、アラート ページで bypassed: true によってフィルター処理する必要があります。 詳しくは、「シークレット スキャンからのアラートの表示とフィルター処理」をご覧ください。

リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。

パートナー アラートについて

GitHub がパブリック リポジトリまたは npm パッケージで漏洩したシークレットを検出すると、アラートは、GitHub のシークレット スキャン パートナー プログラムの一部である場合、シークレット プロバイダーに直接送信されます。 パートナーに対するシークレット スキャンニング アラート について詳しくは、「Secret scanningパートナープログラム」と「サポートされているシークレット スキャン パターン」を参照してください。

パートナーのアラートはリポジトリ管理者に送信されないため、この種類のアラートに対して何らかのアクションを実行する必要はありません。

次のステップ

• シークレット スキャンからのアラートの表示とフィルター処理

参考資料

• 「サポートされているシークレット スキャン パターン」
• 「シークレット スキャンのカスタム パターンの定義」
• 「プロバイダー以外のパターンのシークレットスキャンを有効にする」
• Copilotシークレットスキャンを使用したジェネリックシークレットの責任ある検出