シークレットスキャンからのアラートを監視する

secret scanning が、リポジトリで潜在的なシークレットの漏洩を検出した場合、コードのセキュリティを維持するために、これらのアラートに関する情報を常に把握することが極めて重要です。 GitHub には複数の通知チャネルが用意されており、シークレットが見つかったときにチームが迅速にアラートを受け取れるようにします。ロールと設定に基づいて、これらの通知を受け取る方法とタイミングをカスタマイズできます。

secret scanning アラートに監査応答すると、チームがどのようにセキュリティの問題を管理し、組織のセキュリティポリシーに合わせて遵守状況を維持しているかを追跡できます。

シークレットスキャンニングアラート

の通知を構成する

リポジトリの [セキュリティ] タブにアラートを表示することに加え、GitHub は、アラートに関するメール通知を送信できます。これらの通知は、増分スキャンと履歴スキャンで異なります。

増分スキャン

新しいシークレットが検出されると、GitHub は、通知設定に従ってリポジトリのセキュリティアラートにアクセスできるすべてのユーザーに通知します。これらのユーザーは次のとおりです。

リポジトリ管理者
セキュリティマネージャー
読み書きアクセス権が与えられるカスタムロールを持つユーザー
Organization 所有者とエンタープライズ所有者。シークレットが漏洩したリポジトリの管理者である場合

メモ

シークレットを誤ってコミットしてしまったコミット作成者には、通知の基本設定に関係なく通知が行われます。

次の場合に、電子メール通知を受け取ります。

リポジトリをウォッチしている。
リポジトリ上のカスタム "セキュリティアラート" の "すべてのアクティビティ" に対して通知を有効にしました。
通知設定の [サブスクリプション] の [ウォッチ] で、メールで通知を受け取ることを選んでいる。

GitHub で、リポジトリのメインページに移動します。
リポジトリのウォッチを開始するには、[ ウォッチ] を選択します。
ドロップダウンメニューで、 [すべてのアクティビティ] を選びます。または、セキュリティアラートのみをサブスクライバーにする場合は、 [カスタム] を選び、 [セキュリティアラート] を選びます。
個人用アカウントの通知設定に移動します。これらは、https://github.com/settings/notifications にあります。
通知設定のページの、[サブスクリプション] にある [視聴] で、 [通知する] ドロップダウンを選びます。
通知方法として [Email] を選び、 [保存] を選びます。