secret scanningアラートページについて
リポジトリのsecret scanningを有効にするか、secret scanningが有効になっているリポジトリにコミットをプッシュすると、サービス プロバイダーで定義されているパターン、および Enterprise、organization、またはリポジトリで定義されているカスタム パターンと一致するシークレットについて、GitHub によりその内容がスキャンされます。
secret scanningでシークレットが検出されると、GitHub によってアラートが送信されます。GitHub のリポジトリの [セキュリティ] タブにアラートが表示されます。
アラートをより効果的にトリアージするため、GitHub はアラートを 2 つのリストに分けます。
- デフォルトのアラート
- 試験的なアラート
![secret scanning アラート ビューのスクリーンショット。 アラートを [Default] と [Experimental] 間で切り替えるボタンがオレンジ色の枠線で強調表示されています。](/assets/cb-110858/mw-1440/images/enterprise/3.16/help/security/secret-scanning-default-alert-view.webp)
デフォルトのアラート リスト
デフォルトのアラート リストは、サポートされたパターンと指定されたカスタムパターンに関連した表示アラートを表示します。 これはアラートのメイン ビューです。
試験的なアラート リスト
試験的なアラート リストは、プロバイダー以外のパターン (秘密キーなど)を表示します。 この種類のアラートは、誤検知率またはテストで使用するシークレットの割合が高くなります。 デフォルトのアラート リストから試験的なアラート リストに切り替えられます。
さらに、このカテゴリに分類されるアラートは次のとおりです。
- リポジトリあたりのアラート数は 5,000 件に制限されています (これには、オープン アラートとクローズしたアラートが含まれます)。
- セキュリティ概要の概要ビューには表示されず、"Secret scanning" ビューにのみ表示されます。
- プロバイダー以外のパターン。
GitHubがプロバイダー以外のパターン、最初にリポジトリまたは組織のを有効にする必要があります。 詳しくは、「プロバイダー以外のパターンのシークレットスキャンを有効にする」を参照してください。
GitHub は引き続き、新しいパターンとシークレットの種類を試験的なアラート リストにリリースし、機能が完了した際 (例えば、ボリュームが少なく、誤検知率が低い場合など) にデフォルトのリストに昇格します。
アラートの表示
secret scanning のアラートは、リポジトリの [セキュリティ] タブに表示されます。
-
GitHub で、リポジトリのメイン ページに移動します。
-
リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-17801/images/help/repository/security-tab.png)
-
左側のサイドバーの [Vulnerability alerts] (脆弱性アラート) で、 [Secret scanning] をクリックします。
-
必要に応じて、 [試験的] に切り替えてプロバイダー以外のパターンを表示します。
-
[Secret scanning]で、表示するアラートをクリックします。
Note
漏洩したシークレットを含むリポジトリに対して管理者のアクセス許可を持つユーザーのみが、アラートのセキュリティ アラート詳細およびトークン メタデータを閲覧できます。 企業所有者は、この目的のためにリポジトリへの一時的なアクセスを要求できます。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-17801/mw-1440/images/help/repository/security-tab.webp)
アラートのフィルター処理
アラート リストにさまざまなフィルターを適用し、関心のあるアラートを見つけることができます。 アラート リストの上にあるドロップダウン メニューを使用したり、テーブルにリストされた修飾子を検索バーに入力したりすることができます。
| 修飾子 | 説明 |
|---|---|
is:open | 開いたアラートを表示します。 |
is:closed | 終了したアラートを表示します。 |
bypassed: true | プッシュ保護がバイパスされたシークレットのアラートを表示します。 詳しくは、「プッシュ保護について」をご覧ください。 |
validity:active | アクティブであることがわかっているシークレットのアラートを表示します。 有効性の状態の詳細については、「シークレット スキャンからのアラートの評価」を参照してください。 |
validity:inactive | アクティブではなくなったシークレットのアラートを表示します。 |
validity:unknown | シークレットの有効性の状態が不明な場合、シークレットのアラートを表示します。 |
secret-type:SECRET-NAME | たとえば、secret-type:github_personal_access_token のような特定のシークレット タイプのアラートを表示します。 サポートされているシークレットの種類の一覧については、「サポートされているシークレット スキャン パターン」を参照してください。 |
provider:PROVIDER-NAME | たとえば、provider:github のような特定のプロバイダーのアラートを表示します。 サポートされているパートナーの一覧については、「サポートされているシークレット スキャン パターン」を参照してください。 |
results:default | サポートされているシークレットとカスタム パターンのアラートを表示します。 サポートされているパターンの一覧については、「サポートされているシークレット スキャン パターン」を参照してください。 |
results:experimental | プロバイダー以外のパターン(秘密キー。 サポートされているプロバイダー以外のパターンの一覧については、「サポートされているシークレット スキャン パターン」を参照してください。 |