アラートの修正
シークレットがリポジトリにコミットされたら、シークレットが侵害されたと考える必要があります。 GitHub は、侵害されたシークレットに対して次のアクションを行うことをおすすめします:
- GitHub にコミットされたシークレットが有効であることを確認します。
- 古いトークンを使用するすべてのサービスを確認して更新します。 GitHub personal access token の場合は、侵害されたトークンを削除し、新しいトークンを作成します。 「個人用アクセス トークンを管理する」を参照してください。
- シークレット プロバイダーに応じて、承認されていないアクティビティがないかセキュリティ ログを確認します。
アラートの終了
Note
Secret scanning は、対応するトークンがリポジトリから削除された場合、アラートを自動的に閉じることはありません。 これらのアラートは、GitHub のアラート リストから手動で閉じる必要があります。
-
GitHub で、リポジトリのメイン ページに移動します。
-
リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-17801/images/help/repository/security-tab.png)
-
左側のサイドバーの [Vulnerability alerts] (脆弱性アラート) で、 [Secret scanning] をクリックします。
-
[Secret scanning]で、表示するアラートをクリックします。
-
アラートを無視するには、[次の状態として閉じる] ドロップダウン メニューを選び、アラートを解決する理由をクリックします。
![secret scanning アラートのスクリーンショット。 [閉じる] というタイトルのドロップダウン メニューが展開され、濃いオレンジ色の枠線で強調表示されています。](/assets/cb-332927/images/help/repository/secret-scanning-dismiss-alert-web-ui-link-partner-documentation.png)
-
必要に応じて、[コメント] フィールドに無視のコメントを追加します。 無視のコメントはアラート タイムラインに追加され、監査と報告の間に正当な理由として使用できます。 アラート タイムラインで、すべての無視されたアラートと無視コメントの履歴を確認できます。 また、Secret scanning API を使って、コメントを取得または設定することもできます。 コメントは
resolution_commentフィールドに含まれています。 詳しくは、REST API ドキュメントの「シークレット スキャン用の REST API エンドポイント」を参照してください。 -
[アラートをクローズする] をクリックします。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-17801/mw-1440/images/help/repository/security-tab.webp)
![secret scanning アラートのスクリーンショット。 [閉じる] というタイトルのドロップダウン メニューが展開され、濃いオレンジ色の枠線で強調表示されています。](/assets/cb-332927/mw-1440/images/help/repository/secret-scanning-dismiss-alert-web-ui-link-partner-documentation.webp)