注: この機能を使用するには、サイト管理者が の secret scanning を有効にする必要があります。 詳しくは、「アプライアンスでの secret scanning の構成」をご覧く� さい。
secret scanningについて
プロジェクトを外部サービスと通信させる� �合、認証にトークンまたは秘密鍵を使用できます。 トークンや秘密鍵は、サービスプロバイダが発行できるシークレットです。 リポジトリにシークレットをチェックインする� �合、リポジトリへの読み取りアクセスを持つすべてのユーザがシークレットを使用して、自分の権限で外部サービスにアクセスできます。 シークレットは、プロジェクトのリポジトリの外の、安全な専用の� �所に保存することをお勧めします。
Secret scanningでは、シークレットの GitHub リポジトリに存在するすべてのブランチ上の Git 履歴全体がスキャンされます。
サービス プロバイダーは GitHub と提携して、スキャンのためのシークレット フォーマットを指定することができます。 パートナー プログラ� については、GitHub Enterprise Cloud ドキュメントの「Secret scanning パートナー プログラ� 」をご覧く� さい。
GitHub Enterprise Server の secret scanning について
は、GitHub Advanced Security の一環として、組織が所有するすべてのリポジトリで使用できます。 ユーザ所有のリポジトリでは使用できません。 リポジトリに対してsecret scanningを有効にすると、GitHub ではコードがスキャンされて、多くのサービス プロバイダーによって使用されるシークレットと一致するパターンがないか確認されます。 詳細については、「Secret scanning パターン」 を参照してく� さい。
リポジトリ管理者は、任意のリポジトリに対してを有効にすることができます。 組織の所有者は、すべてのリポジトリまたは組織内のすべての新しいリポジトリに対してを有効にすることもできます。 詳細については、「リポジトリのセキュリティと分析設定を管理する」および「Managing security and analysis settings for your organization」(組織のセキュリティと分析設定を管理する) を参照してく� さい。
リポジトリ、Organization、または Enterprise のカスタ� secret scanning パターンを定義することもできます。 詳細については、「secret scanningのカスタ� パターンの定義」を参照してく� さい。
secret scanning アラートについて
リポジトリの secret scanningを有効にする、または secret scanningが有効になっているリポジトリにコミットをプッシュすると、GitHub によってそれらのコミットの内容がスキャンされて、サービス プロバイダーで定義されているパターン、および Enterprise、Organization、またはリポジトリで定義されているカスタ� パターンと一致するシークレットが確認されます。
secret scanningでシークレットが検出されると、GitHub によってアラートが送信されます。
-
GitHub は、リポジトリ管理者と Organizationのオーナーにメールアラートを送信します。 あなたがリポジトリを監視しており、セキュリティ アラートまたはリポジトリ上のすべてのアクティビティの通知を有効にしている� �合、アラートが通知されます。
-
シークレットをコミットしたコントリビューターがリポジトリを無視していない� �合も、GitHub によってコントリビューターにメール アラートが送信されます。 メールには、関連する secret scanning アラートへのリンクが含まれています。 コミット作者は、リポジトリでこのアラートを表示して、アラートを解決できます。
-
GitHub のリポジトリの [セキュリティ] タブに、アラートが表示されます。
secret scanning アラートの表示と解決の詳細については、「secret scanningからアラートを管理する」を参照してく� さい。
リポジトリ管理者と Organization のオーナーは、ユーザおよび Team に secret scanning アラートへのアクセスを許可できます。 詳細については、「リポジトリのセキュリティと分析の設定を管理する」を参照してく� さい。
セキュリティの概要を使用して、secret scanning が有効になっているリポジトリと検出されたアラートの組織レベルのビューを表示できます。 詳細については、「Viewing the security overview」(セキュリティの概要の表示) を参照してく� さい。 また、REST API を使って、リポジトリまたは Organization 全体でsecret scanningからの結果を監視できます。 API エンドポイントの詳細については、「Secret scanning」を参照してく� さい。