Skip to main content

シークレット スキャンからのアラートの表示とフィルター処理

リポジトリの シークレット スキャン アラート を検索してフィルター処理する方法について説明します。

この機能を使用できるユーザーについて

リポジトリの所有者、組織の所有者、セキュリティ マネージャー、および 管理者 ロールを持つユーザー

secret scanningアラートページについて

リポジトリのsecret scanningを有効にするか、secret scanningが有効になっているリポジトリにコミットをプッシュすると、サービス プロバイダーで定義されているパターン、および Enterprise、organization、またはリポジトリで定義されているカスタム パターンと一致するシークレットについて、GitHub によりその内容がスキャンされます。

secret scanningでシークレットが検出されると、GitHub によってアラートが送信されます。GitHub のリポジトリの [セキュリティ] タブにアラートが表示されます。

アラートをより効果的にトリアージするため、GitHub はアラートを 2 つのリストに分けます。

  • 信頼度の高いアラート。
  • その他のアラート

secret scanningアラート ビューのスクリーンショット。 [高い信頼度]と[その他]のアラートの間に切り替えるボタンは、オレンジ色のアウトラインで強調表示されています。

信頼度の高いアラートのリスト

[高い信頼度]のアラート リストは、サポートされたパターンと指定されたカスタムパターンに関連した表示アラートを表示します。 このリストは、常にアラート ページのデフォルト ビューです。

その他のアラート リスト

[その他]のアラート リストは、プロバイダー以外のパターン(秘密キーなど)。 この種類のアラートは、誤検知率が高くなります。

さらに、このカテゴリに分類されるアラートは次のとおりです。

  • リポジトリあたりのアラート数は 5,000 件に制限されています (これには、オープン アラートとクローズしたアラートが含まれます)。
  • セキュリティ概要の概要ビューには表示されず、"Secret scanning" ビューにのみ表示されます。
  • プロバイダー以外のパターン。

GitHubがプロバイダー以外のパターン、最初にリポジトリまたは組織のを有効にする必要があります。 詳しくは、「プロバイダー以外のパターンのシークレットスキャンを有効にする」を参照してください。

アラートの表示

secret scanning のアラートは、リポジトリの [セキュリティ] タブに表示されます。

  1. GitHub で、リポジトリのメイン ページに移動します。
  2. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。
    タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。
  3. 左側のサイドバーの [Vulnerability alerts] (脆弱性アラート) で、 [Secret scanning] をクリックします。
  4. 必要に応じて、 [その他] に切り替えてプロバイダー以外のパターンを表示します。
  5. [Secret scanning]で、表示するアラートをクリックします。

アラートのフィルター処理

アラート リストにさまざまなフィルターを適用し、関心のあるアラートを見つけることができます。 アラート リストの上にあるドロップダウン メニューを使用したり、テーブルにリストされた修飾子を検索バーに入力したりすることができます。

修飾子説明
is:open開いたアラートを表示します。
is:closed終了したアラートを表示します。
validity:activeアクティブであることがわかっているシークレットのアラートを表示します。 有効性の状態の詳細については、「シークレット スキャンからのアラートの評価」を参照してください。
validity:inactiveアクティブではなくなったシークレットのアラートを表示します。
validity:unknownシークレットの有効性の状態が不明な場合、シークレットのアラートを表示します。
secret-type:SECRET-NAMEたとえば、secret-type:github_personal_access_token のような特定のシークレット タイプのアラートを表示します。 サポートされているシークレットの種類の一覧については、「サポートされているシークレット スキャン パターン」を参照してください。
provider:PROVIDER-NAMEたとえば、provider:github のような特定のプロバイダーのアラートを表示します。 サポートされているパートナーの一覧については、「サポートされているシークレット スキャン パターン」を参照してください。
confidence:highサポートされているシークレットとカスタム パターンに関連する信頼度の高いシークレットのアラートを表示します。 サポートされているパターンの一覧については、「サポートされているシークレット スキャン パターン」を参照してください。
confidence:otherプロバイダー以外のパターン(秘密キー。 サポートされているプロバイダー以外のパターンの一覧については、「サポートされているシークレット スキャン パターン」を参照してください。

次のステップ