Skip to main content

シークレット スキャンからのアラートの評価

アラートを評価し、その修復に優先度を付けるのに役立つ追加機能 (シークレットの有効性の確認など) について説明します。

この機能を使用できるユーザーについて

リポジトリの所有者、組織の所有者、セキュリティ マネージャー、および 管理者 ロールを持つユーザー

アラートの評価について

アラートの優先順位付けと管理を強化するため、アラートを評価するうえで便利な追加機能がいくつかあります。 次のことを実行できます。

  • シークレットの有効性をチェックし、シークレットがまだアクティブかどうかを確認します。 GitHubトークンにのみ適用されます。詳細については、「シークレットの有効性のチェック」を参照してください。
  • トークンのメタデータを確認します。 GitHubトークンにのみ適用されます。 たとえば、トークンが最後に使用された日時を確認します。 詳細については、「GitHub トークン メタデータの確認」を参照してください。

シークレットの有効性の確認

有効性チェックは、どのシークレットが“active“または“inactive“なのかについて教え、アラートの優先順位付けに役立ちます。 “active“のシークレットは引き続き悪用される可能性があるため、これらのアラートを確認して優先事項として修復する必要があります。

既定では、GitHubはGitHubトークンの有効性をチェックし、アラート ビューにトークンの有効性の状態を表示します。

有効期限までの日数状態結果
アクティブなシークレットactiveGitHub はこのシークレットのプロバイダーでチェックし、シークレットがアクティブであることを確認しました
アクティブである可能性があるシークレットunknownGitHub は、このトークンの種類の有効性チェックをまだサポートしていません
アクティブである可能性があるシークレットunknownGitHub はこのシークレットを検証できませんでした
シークレットが非アクティブinactive未承認のアクセスが既に行われていないことを確認する必要があります

REST API を使用して、各トークンの最新の検証状態の一覧を取得できます。 詳しくは、REST API ドキュメントの「シークレット スキャン用の REST API エンドポイント」をご覧ください。 Webhook を使用して、secret scanning アラートに関連するアクティビティの通知を受け取ることもできます。 詳細については、「Webhook のイベントとペイロード」の secret_scanning_alert イベントをご覧ください。

GitHub トークン メタデータの確認

Note

現在、GitHub トークンのメタデータは ベータ であり、変更される可能性があります。

アクティブな GitHub トークン アラートのビューでは、そのトークンに関する特定のメタデータを確認できます。 このメタデータは、トークンを識別したり実行すべき修復手順を判断するのに役立ちます。

personal access token などのトークンやその他の資格情報は、個人情報と見なされます。 GitHub トークンの使用について詳しくは、「GitHub のプライバシーに関する声明」と「GitHub 利用規約」をご覧ください。

GitHub トークンの UI のスクリーンショット。トークン メタデータが表示されています。

GitHub トークンのメタデータは、シークレット スキャンが有効になっているリポジトリ内にあるアクティブなトークンに使うことができます。 トークンが取り消された場合や状態を検証できない場合は、メタデータを使うことができません。 GitHub によってパブリック リポジトリ内にある GitHub トークンが自動的に取り消されるため、パブリック リポジトリ内にある GitHub トークンのメタデータを使うことができる可能性はあまりありません。 次のメタデータは、アクティブな GitHub トークンに使うことができます。

メタデータ説明
シークレット名作成者が GitHub に付けた名前
シークレットの所有者トークンの所有者の GitHub ハンドル
[作成日]トークンが作成された日付
有効期限切れトークンの有効期限が切れた日付
最終使用日トークンが最後に使用された日付
Accessトークンに Organization のアクセス権があるかどうか

漏洩したシークレットを含むリポジトリに対して管理者のアクセス許可を持つユーザーのみが、アラートのセキュリティ アラート詳細およびトークン メタデータを閲覧できます。 企業所有者は、この目的のためにリポジトリへの一時的なアクセスを要求できます。アクセスが許可されている場合、GitHubは漏洩したシークレットを含むリポジトリの所有者に通知し、リポジトリ所有者および企業の監査ログでアクションを報告して、アクセスを 2 時間有効にします。

次の手順