Skip to main content

リポジトリと組織のプッシュ保護

secret scanning を使って、プッシュ保護を有効にすることで、サポートされているシークレットが Enterprise、Organization 、またはリポジトリにプッシュされないようにすることができます。

パートナーに対するシークレット スキャン アラート はパブリック リポジトリとパブリック npm パッケージで自動的に実行され、GitHub.com で漏洩したシークレットについてサービス プロバイダーに通知します。

ユーザーに対するシークレット スキャン アラート は、すべてのパブリック リポジトリで無料で利用できます。 GitHub Enterprise Cloud を使い、GitHub Advanced Security のライセンスを持っている組織は、プライベート リポジトリと内部リポジトリに対して ユーザーに対するシークレット スキャン アラート を有効にすることもできます。 詳細については、「シークレット スキャンについて」と「GitHub Advanced Security について」を参照してください。

GitHub Advanced Security の無料試用については、「GitHub Advanced Security の無料試用版を設定する」を参照してください。

リポジトリと組織のプッシュ保護について

これまで、secret scanning は、プッシュの "後" でシークレットをチェックし、公開されたシークレットについてユーザーに警告します。__ 組織またはリポジトリのプッシュ保護を有効にすると、secret scanning は、プッシュで信頼性の高いシークレット (誤検知率が低いと特定されたシークレット) もチェックします。 Secret scanning には、作成者がシークレットを確認して削除できるように、検出したシークレットが一覧表示されます。また、必要に応じて、それらのシークレットをプッシュできるようにします。 Secret scanning は、カスタム パターンのプッシュもチェックできます。 詳細については、「シークレット スキャンのカスタム パターンの定義」を参照してください。

共同作成者がシークレットのプッシュ保護ブロックをバイパスする場合、GitHub では次のことが行われます。

  • リポジトリの [セキュリティ] タブに、以下の表で説明されている状態のアラートが作成される。
  • バイパス イベントを監査ログに追加する。
  • リポジトリを監視している Organization または個人アカウントの所有者、セキュリティ マネージャー、リポジトリ管理者に、シークレットへのリンクとそれが許可された理由を含むメール アラートを送信する。

注: github.dev Web ベースのエディターでは、プッシュ保護はサポートされていません。 エディターの詳細については、「github.dev Web ベース エディター」を参照してください。

ユーザーがプッシュ保護を迂回し、アラートを起動させた瞬間を見つけるセキュリティ アラートを監視できます。 詳しくは、「セキュリティ アラートの監査」を参照してください。

組織の所有者またはセキュリティ マネージャーは、組織全体でのプッシュ保護のパフォーマンスに関するメトリックを表示できます。 詳しくは、「組織でのシークレット スキャン プッシュ保護のメトリックを表示する」を参照してください。

次の表は、ユーザーがプッシュ保護ブロックをバイパスする方法ごとのアラートの動作を示しています。

バイパスの理由アラート動作
It's used in tests (テストで使用)GitHub は、"テストで使用" として解決されたクローズしたアラートを作成します
It's a false positive (偽陽性)GitHub は、"偽陽性" として解決されたクローズしたアラートを作成します
I'll fix it later (後で修正)GitHub は、オープンなアラートを作成します

プッシュ保護のためにサポートされるシークレットとサービス プロバイダーの詳細については、「secret scanning パターン」を参照してください。

さらに、プッシュ保護を自分で有効にして、プッシュ先のパブリック リポジトリに関係なく保護することができます。 詳しくは、「ユーザーのプッシュ保護」を参照してください。

プッシュ保護としての secret scanning の有効化

secret scanning をパブリック リポジトリでプッシュ保護として使用するには、Enterprise、Organization、またはリポジトリで secret scanning を有効にする必要があります。secret scanning をプライベート リポジトリまたは内部リポジトリでプッシュ保護として使用するには、Enterprize または Organization で GitHub Advanced Security も有効にする必要があります。詳細については、「Enterprise 用の GitHub Advanced Security 機能の管理」、「Organization のセキュリティおよび分析設定を管理する」、「リポジトリのセキュリティと分析設定を管理する」、および「GitHub Advanced Security について」を参照してください。

組織所有者、セキュリティ マネージャー、リポジトリ管理者は、API を使って、secret scanning のプッシュ保護を有効にすることもできます。 詳細については「リポジトリ」を参照し、REST API ドキュメントの "security_and_analysis オブジェクトのプロパティ" セクションを展開します。

エンタープライズ管理者は、API によるエンタープライズのプッシュ保護として、secret scanning を有効または無効にすることもできます。 詳細については、REST API ドキュメントの「コードのセキュリティと分析」を参照してください。

注: secret scanning をプッシュ保護として有効にしてリポジトリをフォークした場合、この機能は既定では有効になっていません。 スタンドアロン リポジトリで有効にするのと同じ方法で、フォークで有効にすることができます。

Eenterprise のプッシュ保護として secret scanning を有効にする

  1. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。

  2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。

  3. Enterprise アカウントのサイドバーで、 [設定] をクリックします。

  4. 左側のサイドバーで、 [コードのセキュリティと分析] をクリックします。

  5. Secret scanning の [プッシュ保護] の下にある [すべて有効にする] をクリックします。

    [Code security and analysis] (コード セキュリティと分析) ページの [プッシュ保護] セクションのスクリーンショット。 [すべて有効にする] と [すべて無効にする] という 2 つのボタンが濃いオレンジ色の枠線で強調表示されています。

  6. 必要に応じて、[secret scanning に追加されたリポジトリに対して自動的に有効にする] をクリックします。

  7. 必要に応じて、メンバーがシークレットをプッシュしようとすると表示されるメッセージ内にカスタム リンクを含めるには、 [コミットがブロックされたらリソース リンクを CLI と Web UI に追加する] をクリックし、URL を入力して、 [リンクの保存] をクリックします。

    [Code security and analysis] (コード セキュリティと分析) ページの [プッシュ保護] セクションのスクリーンショット。 [Add a resource link in the CLI and web UI when a commit is blocked] (コミットがブロックされたときに CLI と Web UI でリソース リンクを追加する) チェックボックスとカスタム リンク テキスト フィールドが濃いオレンジ色の枠線で囲まれています。

組織のプッシュ保護としての secret scanning の有効化

セキュリティの概要を使って一連のリポジトリを検索し、それらすべてに対するプッシュ保護として secret scanning を同時に有効または無効にできます。 詳しくは、「複数のリポジトリでセキュリティ機能を有効にする」を参照してください。

また、[コードのセキュリティと分析] の組織設定ページを使って、組織内のすべての既存リポジトリで、プッシュ保護としての secret scanning を有効または無効にすることもできます。

  1. GitHub.com で、Organization のメイン ページへ移動します。

  2. 組織名の下で、 [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    組織の水平ナビゲーション バーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で囲まれています。

  3. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

  4. [コードのセキュリティと分析] の下で、「GitHub Advanced Security」を見つけてください。

  5. Secret scanning の [プッシュ保護] の下にある [すべて有効にする] をクリックします。

  6. 必要に応じて、[Automatically enable for repositories added to secret scanning] をクリックしてください。

  7. メンバーがシークレットの push を試みると表示されるメッセージ内にカスタム リンクを含めるには、必要に応じて、 [コミットがブロックされたらリソース リンクを CLI と Web UI に追加する] を選んで、URL を入力したら [リンクの保存] をクリックしてください。

    [Code security and analysis] (コード セキュリティと分析) ページの [プッシュ保護] セクションのスクリーンショット。 [Add a resource link in the CLI and web UI when a commit is blocked] (コミットがブロックされたときに CLI と Web UI でリソース リンクを追加する) チェックボックスとカスタム リンク テキスト フィールドが濃いオレンジ色の枠線で囲まれています。

組織全体でセキュリティ機能を有効にする方法の詳細については、「組織のセキュリティ保護」を参照してください。

リポジトリのプッシュ保護としての secret scanning の有効化

  1. GitHub.com で、リポジトリのメイン ページへ移動します。
  2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。 タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。
  3. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
  4. [コードのセキュリティと分析] の下で、「GitHub Advanced Security」を見つけてください。
  5. Secret scanning の [Push protection](プッシュ保護) の下にある [有効にする] をクリックします。 リポジトリの secret scanning のプッシュ保護を有効にする方法を示すスクリーンショット。

カスタム パターンのプッシュ保護を有効にする

エンタープライズ、組織、またはリポジトリ レベルで保存されたカスタム パターンのプッシュ保護として、secret scanning を有効にすることができます。

エンタープライズに保存されたカスタム パターンのプッシュ保護を有効にする

注:

  • カスタム パターンのプッシュ保護を有効にするには、エンタープライズ レベルでプッシュ保護として secret scanning を有効にする必要があります。 詳しくは、「リポジトリと組織のプッシュ保護」を参照してください。
  • 一般的なカスタム パターンに対してプッシュ保護を有効にすると、共同作成者が混乱する可能性があります。

エンタープライズ レベルでカスタム パターンのプッシュ保護を有効にする前に、ドライ ランを使ってカスタム パターンをテストする必要もあります。 ドライ ランは、自分が管理アクセス権を持つリポジトリでのみ実行できます。 エンタープライズ所有者が、組織内の任意のリポジトリでドライ ランを実行するためのアクセス権を必要とする場合は、組織所有者ロールが割り当てられている必要があります。 詳しくは、「Enterprise によって所有される Organization のロールを管理する」を参照してください。

  1. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。

  2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。

  3. Enterprise アカウントのサイドバーで、 [ポリシー] をクリックします。 1. [ポリシー] で、 [コードのセキュリティと分析] をクリックします。

  4. [コードのセキュリティと分析] で、 [セキュリティ機能] をクリックします。 1. [Secret scanning] の [カスタム パターン] で、目的のパターンの をクリックします。

: エンタープライズ レベルでは、自分が作成したカスタム パターンのプッシュ保護のみを編集および有効化することができます。

1. カスタム パターンのプッシュ保護を有効にするには、[プッシュ保護] まで下にスクロールして、 **[有効化]** をクリックします。

カスタム パターン ページのスクリーンショット。プッシュ保護を有効にするボタンが濃いオレンジ色の枠線で強調表示されています。

組織でカスタム パターンのプッシュ保護として secret scanning を有効にする

組織レベルでカスタム パターンのプッシュ保護を有効にする前に、組織内でスキャンするリポジトリに対して secret scanning を必ず有効にする必要があります。 組織のすべてのリポジトリで secret scanning を有効にするには、「Organization のセキュリティおよび分析設定を管理する」を参照してください。

  1. GitHub.com の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。

    @octocat のプロファイル写真の下にあるドロップダウン メニューのスクリーンショット。 [Your organizations] (自分の組織) が濃いオレンジ色の枠線で囲まれています。

  2. 組織の隣の [設定] をクリックします。

  3. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

  4. [コードのセキュリティと分析] の下で、「GitHub Advanced Security」を見つけてください。

  5. [Secret scanning] の [カスタム パターン] で、目的のパターンの をクリックします。

  6. カスタム パターンのプッシュ保護を有効にするには、[プッシュ保護] まで下にスクロールして、 [有効化] をクリックします。

    注:

    • カスタム パターンのプッシュ保護は、プッシュ保護として secret scanning が有効になっている組織のリポジトリにのみ適用されます。 詳しくは、「リポジトリと組織のプッシュ保護」を参照してください。
    • 一般的なカスタム パターンに対してプッシュ保護を有効にすると、共同作成者が混乱する可能性があります。

    カスタム パターン ページの [プッシュ保護] セクションのスクリーンショット。 [有効にする] というボタンが濃いオレンジ色の枠線で囲まれています。

リポジトリでカスタム パターンのプッシュ保護として secret scanning を有効にする

リポジトリ レベルでカスタム パターンのプッシュ保護を有効にする前に、リポジトリのカスタム パターンを定義し、それをリポジトリ内でテストする必要があります。 詳しくは、「シークレット スキャンのカスタム パターンの定義」を参照してください。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。

  2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。 タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

  4. [コードのセキュリティと分析] の下で、「GitHub Advanced Security」を見つけてください。

  5. [Secret scanning] の [カスタム パターン] で、目的のパターンの をクリックします。

  6. カスタム パターンのプッシュ保護を有効にするには、[プッシュ保護] まで下にスクロールして、 [有効化] をクリックします。

    カスタム パターン ページの [プッシュ保護] セクションのスクリーンショット。 [有効にする] というボタンが濃いオレンジ色の枠線で囲まれています。

コマンド ラインからのプッシュ保護としてシークレット スキャンを使用する

プッシュ保護としての secret scanning が有効になっているリポジトリまたは組織に、サポートされているシークレットをプッシュしようとすると、GitHub によってプッシュがブロックされます。 ブランチからシークレットを削除するか、指定された URL に従ってプッシュを許可できます。

検出されたシークレットは、コマンド ラインに一度に最大 5 つ表示されます。 リポジトリで特定のシークレットが既に検出されていて、アラートが既に存在する場合、GitHub はそのシークレットをブロックしません。

Organization の所有者は、プッシュがブロックされると表示されるカスタム リンクを指定できます。 このカスタム リンクには、推奨されるシークレット コンテナーの使用についての指示や、ブロックされたシークレットに関連する質問を問い合わせるユーザーなど、Organization 固有のリソースやアドバイスを含めることができます。

シークレットが本物であることを確認したら、再度プッシュする前に、ブランチから ("それが表示されるすべてのコミットから") シークレットを削除する必要があります。__ ブロックされたシークレットの修復について詳しくは、「プッシュ保護によってブロックされたブランチをプッシュする」を参照してください。

シークレットが本物で、後で修正する予定であることを確認する場合は、できるだけ早くシークレットの修復を目指す必要があります。 たとえば、シークレットを取り消し、リポジトリのコミット履歴からシークレットを削除できます。 不正アクセスを回避するために、公開されている実際のシークレットを取り消す必要があります。 取り消す前に、まずシークレットをローテーションすることを検討できます。 詳しくは、「リポジトリからの機微なデータの削除」を参照してください。

:

  • Git 構成で現在のブランチだけでなく、複数のブランチへのプッシュがサポートされている場合、追加の意図しない参照がプッシュされるため、プッシュがブロックされる可能性があります。 詳細については、Git ドキュメントの push.default オプションを参照してください。
  • プッシュ時にsecret scanningがタイムアウトした場合でも、GitHub ではプッシュ後もシークレットのコミットをスキャンします。

ブロックされたシークレットのプッシュを許可する

GitHub が、プッシュしても安全であると思われるシークレットをブロックする場合は、シークレットを許可し、許可する必要がある理由を指定できます。

シークレットのプッシュを許可すると、 [セキュリティ] タブにアラートが作成されます。シークレットが擬陽性かテスト用のみであれば、GitHub によってアラートが閉じられ、通知が送信されません。 シークレットが実際のものであり、後で修正することを指定した場合、GitHub はセキュリティ アラートを開いたままにし、コミットの作成者とリポジトリ管理者に通知を送信します。 詳しくは、「シークレット スキャンからのアラートの管理」を参照してください。

共同作成者がシークレットのプッシュ保護ブロックをバイパスすると、GitHub により、電子メール通知をオプトインした Organization の所有者、セキュリティ マネージャー、リポジトリ管理者にも電子メール アラートが送信されます。

  1. プッシュがブロックされたときに GitHub から返される URL にアクセスします。
  2. シークレットをプッシュできる理由を最もよく表しているオプションを選択します。
    • シークレットがテストでのみ使用され、脅威がない場合は、 [テストで使用されます] をクリックします。
    • 検出された文字列がシークレットでない場合は、 [誤検知です] をクリックします。
    • シークレットが本物で、後で修正する予定の場合は、 [後で修正します] をクリックします。
  3. [このシークレットをプッシュできるようにする] をクリックします。
  4. 3 時間以内にコマンド ラインでプッシュを再試行します。 3 時間以内にプッシュしていない場合は、このプロセスを繰り返す必要があります。

Web UI からのプッシュ保護としてシークレット スキャンを使用する

Web UI を使用して、プッシュ保護が有効になっているシークレット スキャンを使用して、サポートされているシークレットをリポジトリまたは organization にコミットすると、GitHub によってプッシュがブロックされます。

シークレットの場所に関する情報と、シークレットをプッシュできるオプションを含むダイアログ ボックスが表示されます。 簡単に見つけられるように、ファイルではシークレットに下線も引かれています。

GitHub では、Web UI で検出されたシークレットを一度に 1 つのみ表示します。 リポジトリで特定のシークレットが既に検出されていて、アラートが既に存在する場合、GitHub はそのシークレットをブロックしません。

Organization の所有者は、プッシュがブロックされると表示されるカスタム リンクを指定できます。 このカスタム リンクには、Organization 固有のリソースとアドバイスを含めることができます。 たとえば、Organization のシークレット コンテナー、質問をエスカレートするチームや個人、シークレットの操作とコミット履歴の書き換えに関して Organization で承認されたポリシーに関する情報を含む README ファイルをカスタム リンクが指すようにすることができます。

Web UI を使用して、ファイルからシークレットを削除できます。 シークレットを削除すると、変更をコミットできるようになります。

シークレットのプッシュ保護をバイパスする

シークレットが本物であることを確認したら、再度プッシュする前に、ブランチから ("それが表示されるすべてのコミットから") シークレットを削除する必要があります。__ ブロックされたシークレットの修復について詳しくは、「プッシュ保護によってブロックされたブランチをプッシュする」を参照してください。

シークレットが本物で、後で修正する予定であることを確認する場合は、できるだけ早くシークレットの修復を目指す必要があります。 詳しくは、「リポジトリからの機微なデータの削除」を参照してください。

GitHub が、プッシュしても安全であると思われるシークレットをブロックする場合は、シークレットを許可し、許可する必要がある理由を指定できます。

シークレットのプッシュを許可すると、 [セキュリティ] タブにアラートが作成されます。シークレットが擬陽性かテスト用のみであれば、GitHub によってアラートが閉じられ、通知が送信されません。 シークレットが実際のものであり、後で修正することを指定した場合、GitHub はセキュリティ アラートを開いたままにし、コミットの作成者とリポジトリ管理者に通知を送信します。 詳しくは、「シークレット スキャンからのアラートの管理」を参照してください。

共同作成者がシークレットのプッシュ保護ブロックをバイパスすると、GitHub により、電子メール通知をオプトインした Organization の所有者、セキュリティ マネージャー、リポジトリ管理者にも電子メール アラートが送信されます。

  1. GitHub がコミットをブロックしたときに表示されるダイアログ ボックスで、シークレットの名前と場所を確認します。
  2. シークレットをプッシュできる理由を最もよく表しているオプションを選択します。
    • シークレットがテストでのみ使用され、脅威がない場合は、 [テストで使用されます] をクリックします。
    • 検出された文字列がシークレットでない場合は、 [誤検知です] をクリックします。
    • シークレットが本物で、後で修正する予定の場合は、 [後で修正します] をクリックします。
  3. [シークレットの許可] をクリックします。