Skip to main content

Secret scanningからのアラートを管理する

リポジトリにチェックインしたシークレットのアラートを表示したりクローズしたりすることができます。

高度なセキュリティのためのSecret scanning is available for organization-owned repositories in GitHub Enterprise Cloud if your enterprise has a license for GitHub Advanced Security. For more information, see "GitHub's products."

secret scanningアラートの管理

ノート: アラートは、>- 高度なセキュリティのためのSecret scanningが有効化されたリポジトリでのみ生成されます。 無料のパートナーパターンのSecret scanningサービスを使ってパブリックリポジトリで見つかったシークレットは、アラートを生成することなくパートナーに直接報告されます。

  1. GitHub.comで、リポジトリのメインページにアクセスしてください。

  2. リポジトリ名の下で Security(セキュリティ)をクリックしてください。 セキュリティのタブ

  3. 左サイトバーで、[Secret scanning alerts] をクリックします。

    [Secret scanning alert] タブ

  4. [Secret scanning] の下で、表示するアラートをクリックします。

    シークレットスキャンからのアラートのリスト

  5. あるいは"Close as"ドロップダウンメニューを選択し、アラートを解決する理由をクリックしてください。

    シークレットスキャンからのアラートを解決するためのドロップダウンメニュー

侵害されたシークレットを保護する

シークレットがリポジトリにコミットされたら、シークレットが侵害されたと考える必要があります。 GitHub は、侵害されたシークレットに対して次のアクションを行うことをおすすめします。

  • 侵害された GitHub の個人アクセストークンについては、侵害されたトークンを削除し、新しいトークンを作成し、古いトークンを使っていたサービスを更新してください。 詳しい情報についてはコマンドラインのための個人のアクセストークンの作成を参照してください。
  • それ以外のすべてのシークレットについては、最初に GitHub Enterprise Cloud にコミットされたシークレットが有効であることを確認してください。 有効である場合は、新しいシークレットを作成し、古いシークレットを使用するサービスを更新してから、古いシークレットを削除します。

ノート: シークレットがGitHub.com上のパブリックリポジトリで検出され、そのシークレットがパートナーパターンにもマッチした場合、アラートが生成され、シークレットかもしれないものがサービスプロバイダに報告されます。 パートナーパターンに関する詳細については「パートナーパターンでサポートされているシークレット」を参照してください。

secret scanningアラートの通知の設定

新しいシークレットが検出されると、GitHub Enterprise Cloudは通知設定に従ってリポジトリのセキュリティアラートにアクセスできるすべてのユーザに通知します。 あなたがリポジトリをWatchしていて、セキュリティアラートもしくはリポジトリのすべてのアクティビティに対する通知を有効化しているか、検出されたシークレットを含むコミットの作者でそのリポジトリを無視していなければ、あなたはメール通知を受け取ることになります。

詳しい情報については、「リポジトリのセキュリティ及び分析の設定の管理」及び「通知の設定」を参照してください。