secret scanningアラートページについて
リポジトリのsecret scanningを有効にするか、secret scanningが有効になっているリポジトリにコミットをプッシュすると、サービス プロバイダーで定義されているパターン、および Enterprise、organization、またはリポジトリで定義されているカスタム パターンと一致するシークレットについて、GitHub によりその内容がスキャンされます。
secret scanningでシークレットが検出されると、GitHub によってアラートが送信されます。GitHub のリポジトリの [セキュリティ] タブにアラートが表示されます。
アラートをより効果的にトリアージするため、GitHub はアラートを 2 つのリストに分けます。
- デフォルトのアラート
- 試験的なアラート
デフォルトのアラート リスト
デフォルトのアラート リストは、サポートされたパターンと指定されたカスタムパターンに関連した表示アラートを表示します。 これはアラートのメイン ビューです。
試験的なアラート リスト
試験的なアラート リストは、プロバイダー以外のパターン (秘密キーなど)または AI を使用して検出された汎用シークレット(パスワードなど)に関連したアラートを表示します。 この種類のアラートは、誤検知率またはテストで使用するシークレットの割合が高くなります。 デフォルトのアラート リストから試験的なアラート リストに切り替えられます。
さらに、このカテゴリに分類されるアラートは次のとおりです。
- リポジトリあたりのアラート数は 5,000 件に制限されています (これには、オープン アラートとクローズしたアラートが含まれます)。
- セキュリティ概要の概要ビューには表示されず、"Secret scanning" ビューにのみ表示されます。
- プロバイダー以外のパターンにGitHubで最初の 5 つの検出場所のみが表示され、AI で検出された汎用シークレットに最初の検出場所のみが表示されている。
GitHubがプロバイダー以外のパターンと汎用シークレットをスキャンするには、最初にリポジトリまたは組織の機能を有効にする必要があります。 詳しくは、「プロバイダー以外のパターンのシークレットスキャンを有効にする」と「Copilot シークレット スキャンの一般的なシークレット検出の有効化」を参照してください。
GitHub は引き続き、新しいパターンとシークレットの種類を試験的なアラート リストにリリースし、機能が完了した際 (例えば、ボリュームが少なく、誤検知率が低い場合など) にデフォルトのリストに昇格します。
アラートの表示
secret scanning のアラートは、リポジトリの [セキュリティ] タブに表示されます。
-
GitHub で、リポジトリのメイン ページに移動します。
-
リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。
-
左側のサイドバーの [Vulnerability alerts] (脆弱性アラート) で、 [Secret scanning] をクリックします。
-
必要に応じて、 [試験的] に切り替えてプロバイダー以外のパターンまたは AI を使用して検出された汎用シークレットのアラートを表示します。
-
[Secret scanning]で、表示するアラートをクリックします。
Note
漏洩したシークレットを含むリポジトリに対して管理者のアクセス許可を持つユーザーのみが、アラートのセキュリティ アラート詳細およびトークン メタデータを閲覧できます。 企業所有者は、この目的のためにリポジトリへの一時的なアクセスを要求できます。
アラートのフィルター処理
アラート リストにさまざまなフィルターを適用し、関心のあるアラートを見つけることができます。 アラート リストの上にあるドロップダウン メニューを使用したり、テーブルにリストされた修飾子を検索バーに入力したりすることができます。
修飾子 | 説明 |
---|---|
is:open | 開いたアラートを表示します。 |
is:closed | 終了したアラートを表示します。 |
bypassed: true | プッシュ保護がバイパスされたシークレットのアラートを表示します。 詳しくは、「プッシュ保護について」をご覧ください。 |
validity:active | アクティブであることがわかっているシークレットのアラートを表示します。 有効性の状態の詳細については、「シークレット スキャンからのアラートの評価」を参照してください。 |
validity:inactive | アクティブではなくなったシークレットのアラートを表示します。 |
validity:unknown | シークレットの有効性の状態が不明な場合、シークレットのアラートを表示します。 |
secret-type:SECRET-NAME | たとえば、secret-type:github_personal_access_token のような特定のシークレット タイプのアラートを表示します。 サポートされているシークレットの種類の一覧については、「サポートされているシークレット スキャン パターン」を参照してください。 |
provider:PROVIDER-NAME | たとえば、provider:github のような特定のプロバイダーのアラートを表示します。 サポートされているパートナーの一覧については、「サポートされているシークレット スキャン パターン」を参照してください。 |
results:default | サポートされているシークレットとカスタム パターンのアラートを表示します。 サポートされているパターンの一覧については、「サポートされているシークレット スキャン パターン」を参照してください。 |
results:experimental | プロバイダー以外のパターン(秘密キーなど)のアラートと、AI で検出された汎用シークレット(パスワードなど)のアラートを表示します。 サポートされているプロバイダー以外のパターンの一覧については、「サポートされているシークレット スキャン パターン」を参照してください。 AI で検出された汎用シークレットの詳細については、「Copilotシークレットスキャンを使用したジェネリックシークレットの責任ある検出」を参照してください。 |