secret scanningについて
既知のパターンを持つシークレットを誰かがリポジトリにチェックインすると、secret scanning ではチェックイン時にシークレットをキャッチするため、リークの影響を軽減するのに役立ちます。 シークレット管理者は、シークレットを含むコミットについての通知を受け取り、検出されたすべてのシークレットをリポジトリの [セキュリティ] タブですぐに確認できます。 「シークレット スキャンについて」を参照してください。
ライセンスに GitHub Advanced Security
が含まれているかどうかを確認する
エンタープライズ設定を確認することで、エンタープライズに GitHub Advanced Security ライセンスがあるかどうかを確認できます。 詳しくは、「自社で GitHub Advanced Security を有効にする」をご覧ください。
secret scanning の前提条件
-
GitHub Enterprise Server を実行する VM/KVM で SSSE3 (補足のストリーミング SIMD 拡張命令 3) CPU フラグを有効にする必要があります。 SS Standard Edition 3 の詳細については、Intel ドキュメントのIntel 64 および IA-32 アーキテクチャ最適化リファレンス マニュアルを参照してください。
-
GitHub Advanced Security のライセンス (「GitHub Advanced Security の課金について」を参照してください)
-
管理コンソールで Secret scanning が有効になっている (「自社で GitHub Advanced Security を有効にする」を参照してください)
vCPU での SSSE3 フラグのサポートを確認する
secret scanning はハードウェアアクセラレーションによるパターンマッチングを利用して、GitHub リポジトリにコミットされた潜在的な認証情報を見つけるため、SSSE3 の一連の命令が必要です。 SSSE3 は、ほとんどの最新の CPU で有効になっています。 GitHub Enterprise Server インスタンスで使用可能な vCPU に対して SSSE3 が有効になっているかどうかを確認できます。
-
GitHub Enterprise Server インスタンスの管理シェルに接続します。 「管理シェル (SSH) にアクセスする」を参照してください。
-
次のコマンドを入力します:
grep -iE '^flags.*ssse3' /proc/cpuinfo >/dev/null | echo $?
これで値
0
が返される場合は、SSSE3 フラグが使用可能で有効になっていることを示します。 これで、secret scanning を有効にすることができます。 後述する「secret scanning の有効化」を参照してください。これで
0
が返されない場合、SSSE3 は VM/KVM で有効になっていません。 フラグを有効化する方法、またはゲスト VM で使用可能にする方法については、ハードウェア/ハイパーバイザーのドキュメントを参照する必要があります。
secret scanning の有効化
Warning
- この設定を変更すると、GitHub Enterprise Server 上のユーザーが利用するサービスが再起動されます。 ユーザーのダウンタイムを最小限に抑えるために、この変更のタイミングは慎重に決めてください。
- Enterprise 内の organization が展開した既存のセキュリティ構成に影響しないように、機能の有効化設定を変更する予定がある場合は、事前に organization 所有者に連絡することをお勧めします。
-
GitHub Enterprise Server の管理アカウントから、任意のページの右上隅で をクリックします。
-
[サイト管理者] ページにまだ表示されていない場合は、左上隅の [サイト管理者] をクリックします。
-
[ サイト管理者] サイドバーで [Management Console] をクリックします。
-
[設定] サイドバーで [セキュリティ] をクリックします。
-
[セキュリティ] で [Secret scanning] を選択します。
-
[設定] サイドバーで [設定の保存] をクリックします。
Note
[Management Console] で設定を保存すると、システム サービスが再起動され、ユーザーにわかるダウンタイムが発生する可能性があります。
-
設定の実行が完了するのを待ってください。
secret scanning の無効化
Warning
- この設定を変更すると、GitHub Enterprise Server 上のユーザーが利用するサービスが再起動されます。 ユーザーのダウンタイムを最小限に抑えるために、この変更のタイミングは慎重に決めてください。
- Enterprise 内の organization が展開した既存のセキュリティ構成に影響しないように、機能の有効化設定を変更する予定がある場合は、事前に organization 所有者に連絡することをお勧めします。
-
GitHub Enterprise Server の管理アカウントから、任意のページの右上隅で をクリックします。
-
[サイト管理者] ページにまだ表示されていない場合は、左上隅の [サイト管理者] をクリックします。
-
[ サイト管理者] サイドバーで [Management Console] をクリックします。
-
[設定] サイドバーで [セキュリティ] をクリックします。
-
[セキュリティ] で [Secret scanning] の選択を解除します。
-
[設定] サイドバーで [設定の保存] をクリックします。
Note
[Management Console] で設定を保存すると、システム サービスが再起動され、ユーザーにわかるダウンタイムが発生する可能性があります。
-
設定の実行が完了するのを待ってください。