シークレット スキャンからのアラートの表示とフィルター処理

リポジトリの シークレット スキャン アラート を検索してフィルター処理する方法について説明します。

この機能を使用できるユーザーについて

People with admin access to a repository can view シークレット スキャン alerts for the repository.

Secret scanningは組織が所有するリポジトリに利用でき、ベータ版はGitHub Enterprise Serverでユーザーが所有するリポジトリに利用できます。 詳細については、「シークレット スキャン アラートについて」と「GitHub Advanced Security について」を参照してください。

この記事の内容

secret scanningアラートページについて

リポジトリのsecret scanningを有効にするか、secret scanningが有効になっているリポジトリにコミットをプッシュすると、サービス プロバイダーで定義されているパターン、および Enterprise、organization、またはリポジトリで定義されているカスタム パターンと一致するシークレットについて、GitHub によりその内容がスキャンされます。

secret scanningでシークレットが検出されると、GitHub によってアラートが送信されます。GitHub のリポジトリの [セキュリティ] タブにアラートが表示されます。

アラートをより効果的にトリアージするため、GitHubはアラートを 2 つのリストに分けます。

  • 信頼度の高いアラート。
  • その他のアラート

secret scanningアラート ビューのスクリーンショット。 [高い信頼度]と[その他]のアラートの間に切り替えるボタンは、オレンジ色のアウトラインで強調表示されています。

信頼度の高いアラートのリスト

[高い信頼度]のアラート リストは、サポートされたパターンと指定されたカスタムパターンに関連した表示アラートを表示します。 このリストは、常にアラート ページのデフォルト ビューです。

その他のアラート リスト

[その他]のアラート リストは、プロバイダー以外のパターン(秘密キーなど)。 この種類のアラートは、誤検知率が高くなります。

さらに、このカテゴリに分類されるアラートは次のとおりです。

  • リポジトリあたりのアラート数は 5,000 件に制限されています (これには、オープン アラートとクローズしたアラートが含まれます)。
  • セキュリティ概要の概要ビューには表示されず、"Secret scanning" ビューにのみ表示されます。
  • プロバイダー以外のパターン。

GitHubがプロバイダー以外のパターン、最初にリポジトリまたは組織のを有効にする必要があります。 詳細については、「プロバイダー以外のパターンのシークレットスキャンを有効にする

アラートの表示

secret scanning のアラートは、リポジトリの [セキュリティ] タブに表示されます。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。

  3. 左側のサイドバーの [Vulnerability alerts] (脆弱性アラート) で、 [Secret scanning] をクリックします。

  4. 必要に応じて、[その他] に切り替えてプロバイダー以外のパターン。

  5. [Secret scanning]で、表示するアラートをクリックします。

    Note

    漏洩したシークレットを含むリポジトリに対して管理者のアクセス許可を持つユーザーのみが、アラートのセキュリティ アラート詳細およびトークン メタデータを閲覧できます。 企業所有者は、この目的のためにリポジトリへの一時的なアクセスを要求できます。

アラートのフィルター処理

アラート リストにさまざまなフィルターを適用し、関心のあるアラートを見つけることができます。 アラート リストの上にあるドロップダウン メニューを使用したり、テーブルにリストされた修飾子を検索バーに入力したりすることができます。

修飾子説明
is:open開いたアラートを表示します。
is:closed終了したアラートを表示します。
bypassed: trueプッシュ保護がバイパスされたシークレットのアラートを表示します。 詳しくは、「プッシュ保護について」を参照してください。
validity:activeアクティブであることがわかっているシークレットのアラートを表示します。 有効性の状態の詳細については、「シークレット スキャンからのアラートの評価。」を参照してください
validity:inactiveアクティブではなくなったシークレットのアラートを表示します。
validity:unknownシークレットの有効性の状態が不明な場合、シークレットのアラートを表示します。
secret-type:SECRET-NAMEたとえば、secret-type:github_personal_access_token のような特定のシークレット タイプのアラートを表示します。 サポートされているシークレットの種類のリストについては、「サポートされているシークレット スキャン パターン」を参照してください。
provider:PROVIDER-NAMEたとえば、provider:github のような特定のプロバイダーのアラートを表示します。 サポートされているパートナーのリストについては、「サポートされているシークレット スキャン パターン」を参照してください。
confidence:highサポートされているシークレットとカスタム パターンに関連する信頼度の高いシークレットのアラートを表示します。 サポートされている信頼度の高いパターンのリストについては、「サポートされているシークレット スキャン パターン」を参照してください。
confidence:otherプロバイダー以外のパターン(秘密キー。 サポートされているプロバイダー以外のパターンのリストについては、「サポートされているシークレット スキャン パターン」を参照してください。

次の手順