secret scanningアラートページについて
リポジトリのsecret scanningを有効にするか、secret scanningが有効になっているリポジトリにコミットをプッシュすると、サービス プロバイダーで定義されているパターン、および Enterprise、organization、またはリポジトリで定義されているカスタム パターンと一致するシークレットについて、GitHub によりその内容がスキャンされます。
secret scanningでシークレットが検出されると、GitHub によってアラートが送信されます。GitHub のリポジトリの [セキュリティ] タブにアラートが表示されます。
アラートをより効果的にトリアージするため、GitHub はアラートを 2 つのリストに分けます。
- 信頼度の高いアラート。
- その他のアラート
信頼度の高いアラートのリスト
[高い信頼度]のアラート リストは、サポートされたパターンと指定されたカスタムパターンに関連した表示アラートを表示します。 このリストは、常にアラート ページのデフォルト ビューです。
その他のアラート リスト
[その他]のアラート リストは、プロバイダー以外のパターン(秘密キーなど)。 この種類のアラートは、誤検知率が高くなります。
さらに、このカテゴリに分類されるアラートは次のとおりです。
- リポジトリあたりのアラート数は 5,000 件に制限されています (これには、オープン アラートとクローズしたアラートが含まれます)。
- セキュリティ概要の概要ビューには表示されず、"Secret scanning" ビューにのみ表示されます。
- プロバイダー以外のパターン。
GitHubがプロバイダー以外のパターン、最初にリポジトリまたは組織のを有効にする必要があります。 詳しくは、「プロバイダー以外のパターンのシークレットスキャンを有効にする」を参照してください。
アラートの表示
secret scanning のアラートは、リポジトリの [セキュリティ] タブに表示されます。
- GitHub で、リポジトリのメイン ページに移動します。
- リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。
- 左側のサイドバーの [Vulnerability alerts] (脆弱性アラート) で、 [Secret scanning] をクリックします。
- 必要に応じて、 [その他] に切り替えてプロバイダー以外のパターンを表示します。
- [Secret scanning]で、表示するアラートをクリックします。
アラートのフィルター処理
アラート リストにさまざまなフィルターを適用し、関心のあるアラートを見つけることができます。 アラート リストの上にあるドロップダウン メニューを使用したり、テーブルにリストされた修飾子を検索バーに入力したりすることができます。
修飾子 | 説明 |
---|---|
is:open | 開いたアラートを表示します。 |
is:closed | 終了したアラートを表示します。 |
validity:active | アクティブであることがわかっているシークレットのアラートを表示します。 有効性の状態の詳細については、「シークレット スキャンからのアラートの評価」を参照してください。 |
validity:inactive | アクティブではなくなったシークレットのアラートを表示します。 |
validity:unknown | シークレットの有効性の状態が不明な場合、シークレットのアラートを表示します。 |
secret-type:SECRET-NAME | たとえば、secret-type:github_personal_access_token のような特定のシークレット タイプのアラートを表示します。 サポートされているシークレットの種類の一覧については、「サポートされているシークレット スキャン パターン」を参照してください。 |
provider:PROVIDER-NAME | たとえば、provider:github のような特定のプロバイダーのアラートを表示します。 サポートされているパートナーの一覧については、「サポートされているシークレット スキャン パターン」を参照してください。 |
confidence:high | サポートされているシークレットとカスタム パターンに関連する信頼度の高いシークレットのアラートを表示します。 サポートされているパターンの一覧については、「サポートされているシークレット スキャン パターン」を参照してください。 |
confidence:other | プロバイダー以外のパターン(秘密キー。 サポートされているプロバイダー以外のパターンの一覧については、「サポートされているシークレット スキャン パターン」を参照してください。 |