secret scanning パターン

secret scanning アラートについて

シークレット スキャン が有効になっている場合、GitHub ではリポジトリで、次のサービス プロバイダーによって発行されたシークレットがスキャンされ、シークレット スキャンニング アラート が生成されます。

secret scanning アラートには、次の種類を指定できます。

• サポートされているパターンと指定されたカスタム パターンに関連する信頼度の高いアラート。
• 擬陽性の比率が高く、秘密キーなどのシークレットに対応するプロバイダー以外のアラート。

GitHub では、プロバイダー以外のアラートが、信頼度の高いアラートとは別の一覧に表示され、トリアージがユーザーにとってより優れたエクスペリエンスになります。 詳しくは、「シークレット スキャンからのアラートの管理」を参照してください。

これらのアラートは、リポジトリの [セキュリティ] タブに表示されます。

リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。

secret scanning に REST API を使う場合は、Secret type を使って特定の発行者からのシークレットについて報告できます。 詳しくは、「シークレット スキャン用の REST API エンドポイント」を参照してください。

プッシュ保護アラートについて

プッシュ保護アラートは、プッシュ保護によって報告されるユーザー アラートです。 プッシュ保護として Secret scanning では、現在、次のサービス プロバイダーによって発行されたシークレットのリポジトリがスキャンされます。

リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。

以前のバージョンの特定のトークンは、プッシュ保護によってサポートされない場合があります。これらのトークンでは、最新バージョンよりも多くの誤検知が生成される可能性があるためです。 プッシュ保護は、レガシ トークンにも適用されない場合があります。 Azure Storage キーなどのトークンの場合、GitHub では、レガシ パターンに一致するトークンではなく、''最近作成された'' トークンのみがサポートされます。__プッシュ保護の制限事項について詳しくは、「シークレット スキャンのトラブルシューティング」を参照してください。

サポートされているシークレット

次の表に、secret scanning でサポートされているシークレットの一覧を示します。 トークンごとに生成されるアラートの種類と、トークンに対して有効性チェックが実行されるかどうかを確認できます。

• プロバイダー - トークン プロバイダーの名前。

• Secret scanning アラート - GitHub のユーザーにリークが報告されるトークン。

  • GitHub Advanced Security と secret scanning が有効になっているプライベート リポジトリに適用されます。
  • サポートされているパターンと指定されたカスタム パターンに関連する高信頼度の高いトークンと、秘密キーなどのプロバイダー以外のトークンが含まれ、多くの場合、誤検知擬陽性が発生します。

• プッシュ保護 - GitHub のユーザーにリークが報告されるトークン。 secret scanning とプッシュ保護が有効になっているリポジトリに適用されます。

  注: 以前のバージョンの特定のトークンは、プッシュ保護によってサポートされない場合があります。これらのトークンでは、最新バージョンよりも多くの誤検知が生成される可能性があるためです。 プッシュ保護は、レガシ トークンにも適用されない場合があります。 Azure Storage キーなどのトークンの場合、GitHub では、レガシ パターンに一致するトークンではなく、''最近作成された'' トークンのみがサポートされます。__プッシュ保護の制限事項について詳しくは、「シークレット スキャンのトラブルシューティング」を参照してください。

• 有効性チェック — 有効性チェックが実装されているトークン。 現在、GitHub トークンにのみ適用されます。

プロバイダー以外のパターン

プロバイダー	Token
一般	http_basic_authentication_header
一般	http_bearer_authentication_header
一般	mongodb_connection_string
一般	mysql_connection_string
一般	openssh_private_key
一般	pgp_private_key
一般	postgres_connection_string
一般	rsa_private_key

プッシュ保護と有効性チェックは、プロバイダー以外のパターンではサポートされていません。

信頼度の高いパターン

プロバイダー	トークン	Secret scanning アラート	プッシュ保護	有効性チェック
Adafruit IO	adafruit_io_key
Adobe	adobe_client_secret
Adobe	adobe_device_token
Adobe	adobe_pac_token
Adobe	adobe_refresh_token
Adobe	adobe_service_token
Adobe	adobe_short_lived_access_token
Aiven	aiven_auth_token
Aiven	aiven_service_password
Alibaba Cloud	alibaba_cloud_access_key_id alibaba_cloud_access_key_secret
Login with Amazon	amazon_oauth_client_id amazon_oauth_client_secret
Amazon Web Services (AWS)	aws_access_key_id aws_secret_access_key
Amazon Web Services (AWS)	aws_session_token aws_temporary_access_key_id aws_secret_access_key
Anthropic	anthropic_api_key
Asana	asana_personal_access_token
Atlassian	atlassian_api_token
Atlassian	atlassian_jwt
Atlassian	bitbucket_server_personal_access_token
Authress	authress_service_client_access_key
Azure	azure_active_directory_application_secret
Azure	azure_batch_key_identifiable
Azure	azure_cache_for_redis_access_key
Azure	azure_container_registry_key_identifiable
Azure	azure_cosmosdb_key_identifiable
Azure	azure_devops_personal_access_token
Azure	azure_function_key
Azure	azure_ml_web_service_classic_identifiable_key
Azure	azure_sas_token
Azure	azure_search_admin_key
Azure	azure_search_query_key
Azure	azure_management_certificate
Azure	azure_sql_connection_string
Azure	azure_sql_password
Azure	azure_storage_account_key
Baidu	baiducloud_api_accesskey
Beamer	beamer_api_key
Beijing Volcano Engine Technology	volcengine_access_key_id
Canadian Digital Service	cds_canada_notify_api_key
Canva	canva_connect_api_secret
Cashfree	Cashfree API Key
Checkout.com	checkout_production_secret_key
Checkout.com	checkout_test_secret_key
Chief Tools	chief_tools_token
CircleCI	circleci-pat
CircleCI	circleci-prj
Clojars	clojars_deploy_token
CloudBees CodeShip	codeship_credential
Contentful	contentful_personal_access_token
crates.io (Rust Foundation)	cratesio_api_token
Databricks	databricks_access_token
Defined	defined_networking_nebula_api_key
DevCycle	devcycle_client_api_key
DevCycle	devcycle_mobile_api_key
DevCycle	devcycle_server_api_key
DigitalOcean	digitalocean_oauth_token
DigitalOcean	digitalocean_personal_access_token
DigitalOcean	digitalocean_refresh_token
DigitalOcean	digitalocean_system_token
Discord	discord_api_token_v2
Discord	discord_bot_token
Docker	docker_personal_access_token
Doppler	doppler_audit_token
Doppler	doppler_cli_token
Doppler	doppler_personal_token
Doppler	doppler_scim_token
Doppler	doppler_service_token
Doppler	doppler_service_account_token
Dropbox	dropbox_access_token
Dropbox	dropbox_short_lived_access_token
Duffel	duffel_live_access_token
Duffel	duffel_test_access_token
Dynatrace	dynatrace_access_token
Dynatrace	dynatrace_internal_token
EasyPost	easypost_production_api_key
EasyPost	easypost_test_api_key
eBay	ebay_production_client_id ebay_production_client_secret
eBay	ebay_sandbox_client_id ebay_sandbox_client_secret
Fastly	fastly_api_token
Figma	figma_pat
Finicity	finicity_app_key
Flutterwave	flutterwave_live_api_secret_key
Flutterwave	flutterwave_test_api_secret_key
Frame.io	frameio_developer_token
Frame.io	frameio_jwt
FullStory	fullstory_api_key
GitHub	github_app_installation_access_token
GitHub	github_oauth_access_token
GitHub	github_personal_access_token
GitHub	github_refresh_token
GitHub	github_ssh_private_key
GitLab	gitlab_access_token
GoCardless	gocardless_live_access_token
GoCardless	gocardless_sandbox_access_token
Google	firebase_cloud_messaging_server_key
Google	google_cloud_storage_service_account_access_key_id google_cloud_storage_access_key_secret
Google	google_cloud_storage_user_access_key_id google_cloud_storage_access_key_secret
Google	google_oauth_access_token
Google	google_oauth_client_id google_oauth_client_secret
Google	google_oauth_refresh_token
Google Cloud	google_api_key
Google Cloud	google_cloud_private_key_id
Grafana	grafana_cloud_api_key
Grafana	grafana_cloud_api_token
Grafana	grafana_project_api_key
Grafana	grafana_project_service_account_token
HashiCorp	hashicorp_vault_batch_token
HashiCorp	hashicorp_vault_root_service_token
HashiCorp	hashicorp_vault_service_token
Hashicorp Terraform	terraform_api_token
Highnote	highnote_rk_live_key
Highnote	highnote_rk_test_key
Highnote	highnote_sk_live_key
Highnote	highnote_sk_test_key
Hop	hop_bearer
Hop	hop_pat
Hop	hop_ptk
Hubspot	hubspot_api_key
Hubspot	hubspot_api_personal_access_key
Intercom	intercom_access_token
Ionic	ionic_personal_access_token
Ionic	ionic_refresh_token
JD Cloud	jd_cloud_access_key
JFrog	jfrog_platform_access_token
JFrog	jfrog_platform_api_key
JFrog	jfrog_platform_reference_token
Lightspeed	lightspeed-xs-pat
Linear	linear_api_key
Linear	linear_oauth_access_token
Lob	lob_live_api_key
Lob	lob_test_api_key
LocalStack	localstack_api_key
LogicMonitor	logicmonitor_bearer_token
LogicMonitor	logicmonitor_lmv1_access_key
Mailchimp	mailchimp_api_key
Mailgun	mailgun_api_key
Mapbox	mapbox_secret_access_token
Maxmind	maxmind_license_key
Mercury	mercury_non_production_api_token
Mercury	mercury_production_api_token
Mergify	mergify_application_key
MessageBird	messagebird_api_key
Meta	facebook_access_token
Midtrans	midtrans_production_server_key
Midtrans	midtrans_sandbox_server_key
New Relic	new_relic_insights_query_key
New Relic	new_relic_license_key
New Relic	new_relic_personal_api_key
New Relic	new_relic_rest_api_key
Notion	notion_integration_token
Notion	notion_oauth_client_secret
npm	npm_access_token
NuGet	nuget_api_key
Octopus Deploy	octopus_deploy_api_key
Oculus	oculus_very_tiny_encrypted_session
OneChronos	onechronos_api_key
OneChronos	onechronos_eb_api_key
OneChronos	onechronos_eb_encryption_key
OneChronos	onechronos_oauth_token
OneChronos	onechronos_refresh_token
Onfido	onfido_live_api_token
Onfido	onfido_sandbox_api_token
OpenAI	openai_api_key
OpenAI	openai_api_key_v2
Palantir	palantir_jwt
Persona	persona_production_api_key
Persona	persona_sandbox_api_key
Pinterest	pinterest_access_token
Pinterest	pinterest_refresh_token
PlanetScale	planetscale_database_password
PlanetScale	planetscale_oauth_token
PlanetScale	planetscale_service_token
Plivo	plivo_auth_id plivo_auth_token
Postman	postman_api_key
Postman	postman_collection_key
Prefect	prefect_server_api_key
Prefect	prefect_user_api_key
Proctorio	proctorio_consumer_key
Proctorio	proctorio_linkage_key
Proctorio	proctorio_registration_key
Proctorio	proctorio_secret_key
Pulumi	pulumi_access_token
PyPI	pypi_api_token
ReadMe	readmeio_api_access_token
redirect.pizza	redirect_pizza_api_token
Rootly	rootly_api_key
RubyGems	rubygems_api_key
Samsara	samsara_api_token
Samsara	samsara_oauth_access_token
Segment	segment_public_api_token
SendGrid	sendgrid_api_key
Sendinblue	sendinblue_api_key
Sendinblue	sendinblue_smtp_key
Shippo	shippo_live_api_token
Shippo	shippo_test_api_token
Shopify	shopify_access_token
Shopify	shopify_app_client_credentials
Shopify	shopify_app_client_secret
Shopify	shopify_app_shared_secret
Shopify	shopify_custom_app_access_token
Shopify	shopify_marketplace_token
Shopify	shopify_merchant_token
Shopify	shopify_partner_api_token
Shopify	shopify_private_app_password
Siemens	code_siemens_com_token
Slack	slack_api_token
Slack	slack_incoming_webhook_url
Slack	slack_workflow_webhook_url
Square	square_access_token
Square	square_production_application_secret
Square	square_sandbox_application_secret
SSLMate	sslmate_api_key
SSLMate	sslmate_cluster_secret
Stripe	stripe_live_restricted_key
Stripe	stripe_api_key
Stripe	stripe_legacy_api_key
Stripe	stripe_test_restricted_key
Stripe	stripe_test_secret_key
Stripe	stripe_webhook_signing_secret
Supabase	supabase_service_key
Tableau	tableau_personal_access_token
Telegram	telegram_bot_token
Telnyx	telnyx_api_v2_key
Tencent Cloud	tencent_cloud_secret_id
Tencent WeChat	tencent_wechat_api_app_id
Twilio	twilio_access_token
Twilio	twilio_account_sid
Twilio	twilio_api_key
Typeform	typeform_personal_access_token
Uniwise	wiseflow_api_key
WakaTime	wakatime_pp_secret
WakaTime	wakatime_oauth_access_token
WakaTime	wakatime_oauth_refresh_token
Workato	workato_developer_api_token
WorkOS	workos_production_api_key
WorkOS	workos_staging_api_key
Yandex	yandex_iam_access_secret
Yandex	yandex_cloud_api_key
Yandex	yandex_cloud_iam_cookie
Yandex	yandex_cloud_iam_token
Yandex	yandex_cloud_smartcaptcha_server_key
Yandex	yandex_dictionary_api_key
Yandex	yandex_predictor_api_key
Yandex	yandex_translate_api_key
Zuplo	zuplo_consumer_api_key

参考資料

• リポジトリを保護するためのクイック スタート
• アカウントとデータを安全に保つ
• GitHub Enterprise Cloud ドキュメントの「Secret scanningパートナープログラム」