シークレット スキャン アラート を管理する
- お使いの GitHub Enterprise Server インスタンス で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。
- 左側のサイドバーの [Vulnerability alerts] (脆弱性アラート) で、 [Secret scanning] をクリックします。
- [Secret scanning] で、表示するアラートをクリックします。
- アラートを無視するには、[次のマークを付ける] ドロップダウン メニューを選び、アラートを解決する理由をクリックします。
侵害されたシークレットを保護する
シークレットがリポジトリにコミットされたら、シークレットが侵害されたと考える必要があります。 GitHub は、侵害されたシークレットに対して次のアクションを行うことをおすすめします。
- 侵害された GitHub personal access token については、侵害されたトークンを削除し、新しいトークンを作成し、古いトークンを使っていたサービスを更新してください。 詳しくは、「個人用アクセス トークンの作成」を参照してください。
- それ以外のすべてのシークレットについては、最初に GitHub Enterprise Server にコミットされたシークレットが有効であることを確認してください。 有効な場合は、新しいシークレットを作成し、古いシークレットを使用するサービスをすべて更新して、古いシークレットを削除します。
シークレット スキャン アラート の通知を構成する
新しいシークレットが検出されると GitHub Enterprise Server によって、通知設定に従ってリポジトリのセキュリティ アラートにアクセスできるすべてのユーザーに通知されます。 次の場合に、電子メール通知を受け取ります。
- リポジトリをウォッチしている。
- リポジトリ
また、シークレットを含むコミットの作成者であり、リポジトリを無視していない場合にも通知されます。
詳細については、「リポジトリのセキュリティと分析設定を管理する」と「個々のリポジトリのウォッチ設定の構成」を参照してください。
シークレット スキャン アラートへの応答の監査
GitHub ツールを使用して、secret scanning アラートに応答して実行されたアクションを監査できます。 詳しくは、「セキュリティ アラートの監査」を参照してください。