シークレットスキャンによるプッシュの保護

注: この機能を使うには、サイト管理者がお使いの GitHub Enterprise Server インスタンスの secret scanning を有効にする必要があります。詳しくは、「アプライアンスのシークレットスキャンを設定する」を参照してください。

シークレットのプッシュ保護について

これまで、secret scanning は、プッシュの "後" でシークレットをチェックし、公開されたシークレットについてユーザーに警告します。__ プッシュ保護を有効にすると、secret scanning は、信頼度の高いシークレット (誤検知率が低いシークレット) のプッシュもチェックします。 Secret scanning には、作成者がシークレットを確認して削除できるように、検出したシークレットが一覧表示されます。また、必要に応じて、それらのシークレットをプッシュできるようにします。

共同作成者がシークレットのプッシュ保護ブロックをバイパスする場合、GitHub では次のことが行われます。

リポジトリの [セキュリティ] タブに、以下の表で説明されている状態のアラートが作成される。
バイパスイベントを監査ログに追加する。

ユーザーがプッシュ保護を迂回し、アラートを起動させた瞬間を見つけるセキュリティアラートを監視できます。詳細については、「セキュリティアラートの監査」を参照してください。

次の表は、ユーザーがプッシュ保護ブロックをバイパスする方法ごとのアラートの動作を示しています。

バイパスの理由	アラート動作
It's used in tests (テストで使用)	GitHub は、"テストで使用" として解決されたクローズしたアラートを作成します
It's a false positive (偽陽性)	GitHub は、"偽陽性" として解決されたクローズしたアラートを作成します
I'll fix it later (後で修正)	GitHub は、オープンなアラートを作成します

プッシュ保護のためにサポートされるシークレットとサービスプロバイダーの詳細については、「secret scanning パターン」を参照してください。

プッシュ保護としての secret scanning の有効化

secret scanning をパブリックリポジトリでプッシュ保護として使用するには、Organizationまたはリポジトリで secret scanning を有効にする必要があります。詳細については、「Organization のセキュリティおよび分析設定を管理する」、「リポジトリのセキュリティと分析設定を管理する」、および「GitHub Advanced Security について」を参照してください。

組織の所有者、セキュリティマネージャー、リポジトリ管理者は、UI と API を介して secret scanning のプッシュ保護を有効にすることができます。詳細については「リポジトリ」を参照し、REST API ドキュメントの "security_and_analysis オブジェクトのプロパティ" セクションを展開します。

組織のプッシュ保護としての secret scanning の有効化

[コードのセキュリティと分析] の Organization 設定ページを使って、Organization 内のすべての既存のリポジトリに対するプッシュ保護として secret scanning を有効または無効にできます。

お使いの GitHub Enterprise Server インスタンスで、Organization のメインページへ移動します。 1. 組織名の下で、 [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウンメニューを選び、 [設定] をクリックします。
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
[コードのセキュリティと分析] の下で、「GitHub Advanced Security」を見つけてください。 1. Secret scanning の [プッシュ保護] の下にある [すべて有効にする] をクリックします。
必要に応じて、[Automatically enable for repositories added to secret scanning] をクリックしてください。

リポジトリのプッシュ保護としての secret scanning の有効化

お使いの GitHub Enterprise Server インスタンスで、リポジトリのメインページへ移動します。 1. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウンメニューを選び、 [設定] をクリックします。
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。 1. [コードのセキュリティと分析] の下で、「GitHub Advanced Security」を見つけてください。 1. Secret scanning の [Push protection](プッシュ保護) の下にある [有効にする] をクリックします。

コマンドラインからのプッシュ保護としてシークレットスキャンを使用する

プッシュ保護としての secret scanning が有効になっているリポジトリまたは組織に、サポートされているシークレットをプッシュしようとすると、GitHub によってプッシュがブロックされます。ブランチからシークレットを削除するか、指定された URL に従ってプッシュを許可できます。

検出されたシークレットは、コマンドラインに一度に最大 5 つ表示されます。リポジトリで特定のシークレットが既に検出されていて、アラートが既に存在する場合、GitHub はそのシークレットをブロックしません。

シークレットが本物であることを確認したら、再度プッシュする前に、ブランチから ("それが表示されるすべてのコミットから") シークレットを削除する必要があります。__ ブロックされたシークレットの修復について詳しくは、「プッシュ保護によってブロックされたブランチをプッシュする」を参照してください。

シークレットが本物で、後で修正する予定であることを確認する場合は、できるだけ早くシークレットの修復を目指す必要があります。たとえば、シークレットを取り消し、リポジトリのコミット履歴からシークレットを削除できます。不正アクセスを回避するために、公開されている実際のシークレットを取り消す必要があります。取り消す前に、まずシークレットをローテーションすることを検討できます。詳しくは、「リポジトリからの機微なデータの削除」を参照してください。

注:

Git 構成で現在のブランチだけでなく、複数のブランチへのプッシュがサポートされている場合、追加の意図しない参照がプッシュされるため、プッシュがブロックされる可能性があります。詳細については、Git ドキュメントの push.default オプションを参照してください。
プッシュ時にsecret scanningがタイムアウトした場合でも、GitHub ではプッシュ後もシークレットのコミットをスキャンします。

ヒント: GitHub Enterprise Server バージョン 3.6 以降では、Web UI およびコマンドラインからのプッシュ保護として secret scanning を使用できます。

ブロックされたシークレットのプッシュを許可する

GitHub が、プッシュしても安全であると思われるシークレットをブロックする場合は、シークレットを許可し、許可する必要がある理由を指定できます。

シークレットのプッシュを許可すると、 [セキュリティ] タブにアラートが作成されます。シークレットが擬陽性かテスト用のみであれば、GitHub によってアラートが閉じられ、通知が送信されません。シークレットが実際のものであり、後で修正することを指定した場合、GitHub はセキュリティアラートを開いたままにし、コミットの作成者とリポジトリ管理者に通知を送信します。詳しくは、「シークレットスキャンからのアラートの管理」を参照してください。

プッシュがブロックされたときに GitHub から返される URL にアクセスします。
シークレットをプッシュできる理由を最もよく表しているオプションを選択します。
- シークレットがテストでのみ使用され、脅威がない場合は、 [テストで使用されます] をクリックします。
- 検出された文字列がシークレットでない場合は、 [誤検知です] をクリックします。
- シークレットが本物で、後で修正する予定の場合は、 [後で修正します] をクリックします。
[このシークレットをプッシュできるようにする] をクリックします。
3 時間以内にコマンドラインでプッシュを再試行します。 3 時間以内にプッシュしていない場合は、このプロセスを繰り返す必要があります。