Skip to main content

シークレット スキャン アラートについて

さまざまな種類の シークレット スキャンニング アラート について説明します。

この機能を使用できるユーザーについて

リポジトリの所有者、組織の所有者、セキュリティ マネージャー、および 管理者 ロールを持つユーザー

Secret scanning は、次のリポジトリに使うことができます:

  • GitHub Advanced Security が有効な状態の組織所有リポジトリ
  • GitHub Advanced Security が有効になっている企業用のユーザー所有リポジトリ

アラートの種類について

2 型の シークレット スキャンニング アラート があります。

  • シークレット スキャンニング アラート: リポジトリでサポートされているシークレットが検出されると、リポジトリの [セキュリティ] タブでユーザーに報告されます。
  • プッシュ保護アラート: 共同作成者がプッシュ保護をバイパスすると、リポジトリの [セキュリティ] タブでユーザーに報告されます。

シークレット スキャンニング アラート について

secret scanning が有効になっているリポジトリで、GitHub がサポートされているシークレットを検出すると、secret scanning アラートが生成され、リポジトリの [セキュリティ] タブに表示されます。

secret scanning アラートには、次の種類を指定できます。

  • サポートされているパターンと指定されたカスタム パターンに関連する信頼度の高いアラート。
  • 誤検知またはテストで使用されるシークレットの割合が高くなる可能性のあるその他のアラート。

トリアージでより良いユーザー エクスペリエンスを実現するために、GitHub では、これら [その他] のアラートを信頼度の高いアラートとは別のリストに表示します。 詳しくは、「シークレット スキャンからのアラートの表示とフィルター処理」を参照してください。

リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。

プッシュ保護アラートについて

プッシュ保護は、サポートされているシークレットのプッシュをスキャンします。 プッシュ保護は、サポートされているシークレットを検出すると、プッシュをブロックします。 共同作成者がプッシュ保護をバイパスしてシークレットをリポジトリにプッシュすると、プッシュ保護アラートが生成され、リポジトリの [セキュリティ] タブに表示されます。 リポジトリのすべてのプッシュ保護アラートを表示するには、アラート ページで bypassed: true によってフィルター処理する必要があります。 詳しくは、「シークレット スキャンからのアラートの表示とフィルター処理」を参照してください。

リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。

Note

以前のバージョンの特定のトークンは、プッシュ保護によってサポートされない場合があります。これらのトークンでは、最新バージョンよりも多くの誤検知が生成される可能性があるためです。 プッシュ保護は、レガシ トークンにも適用されない場合があります。 Azure Storage キーなどのトークンの場合、GitHub では、レガシ パターンに一致するトークンではなく、''最近作成された'' トークンのみがサポートされます。__プッシュ保護の制限事項について詳しくは、「シークレット スキャンのトラブルシューティング」を参照してください。

次の手順

参考資料