Note: Your site administrator must enable secret scanning for your GitHub Enterprise Server instance before you can use this feature. For more information, see "Configuring secret scanning for your appliance."
注: 保護プッシュとしてのSecret scanningは、現在ベータ版であり、変更される可能性があります。 ベータ版リリースへのアクセスを要求するには、アカウント管理チームにお問い合わせください。
About push protection for secrets
Up to now, secret scanning checks for secrets after a push and alerts users to exposed secrets. プッシュ保護を有効にすると、secret scanning は、信頼度の高いシークレット (誤検知率が低いシークレット) のプッシュもチェックします。 Secret scanning には、作成者がシークレットを確認して削除できるように、検出したシークレットが一覧表示されます。また、必要に応じて、それらのシークレットをプッシュできるようにします。
If a contributor bypasses a push protection block for a secret, GitHub:
- creates an alert in the "Security" tab of the repository in the state described in the table below.
- adds the bypass event to the audit log.
次の表は、ユーザーがプッシュ保護ブロックをバイパスする方法ごとのアラートの動作を示しています。
| バイパスの理由 | アラート動作 |
|---|---|
| It's used in tests (テストで使用) | GitHub は、"テストで使用" として解決されたクローズしたアラートを作成します |
| It's a false positive (偽陽性) | GitHub は、"偽陽性" として解決されたクローズしたアラートを作成します |
| I'll fix it later (後で修正) | GitHub は、オープンなアラートを作成します |
For information on the secrets and service providers supported for push protection, see "Secret scanning patterns."
Enabling secret scanning as a push protection
For you to use secret scanning as a push protection, the organization or repository needs to have both GitHub Advanced Security and secret scanning enabled. For more information, see "Managing security and analysis settings for your organization," "Managing security and analysis settings for your repository," and "About GitHub Advanced Security."
Organization owners, security managers, and repository administrators can enable push protection for secret scanning via the UI and API. For more information, see "Repositories" and expand the "Properties of the security_and_analysis object" section in the REST API documentation.
Enabling secret scanning as a push protection for an organization
-
On your GitHub Enterprise Server instance, navigate to the main page of the organization.
-
Organization 名の下で、 [設定] をクリックします。
-
In the "Security" section of the sidebar, click Code security and analysis.
-
[コードのセキュリティと分析] の下で、「GitHub Advanced Security」を見つけてください。
-
Under "Secret scanning", under "Push protection", click Enable all.
-
Optionally, click "Automatically enable for repositories added to secret scanning."
Enabling secret scanning as a push protection for a repository
-
On your GitHub Enterprise Server instance, navigate to the main page of the repository.
-
リポジトリ名の下の [ 設定] をクリックします。
-
In the "Security" section of the sidebar, click Code security and analysis.
-
[コードのセキュリティと分析] の下で、「GitHub Advanced Security」を見つけてください。
-
Secret scanning の [Push protection](プッシュ保護) の下にある [有効にする] をクリックします。
Using secret scanning as a push protection from the command line
プッシュ保護としての secret scanning が有効になっているリポジトリまたは組織に、サポートされているシークレットをプッシュしようとすると、GitHub によってプッシュがブロックされます。 ブランチからシークレットを削除するか、指定された URL に従ってプッシュを許可できます。
Up to five detected secrets will be displayed at a time on the command line. If a particular secret has already been detected in the repository and an alert already exists, GitHub will not block that secret.
シークレットが本物であることを確認したら、再度プッシュする前に、ブランチから ("それが表示されるすべてのコミットから") シークレットを削除する必要があります。 For more information about remediating blocked secrets, see "Pushing a branch blocked by push protection."
If you confirm a secret is real and that you intend to fix it later, you should aim to remediate the secret as soon as possible. For example, you might revoke the secret and remove the secret from the repository's commit history. Real secrets that have been exposed must be revoked to avoid unauthorized access. You might consider first rotating the secret before revoking it. For more information, see "Removing sensitive data from a repository."
注:
- Git 構成で現在のブランチだけでなく、複数のブランチへのプッシュがサポートされている場合、追加の意図しない参照がプッシュされるため、プッシュがブロックされる可能性があります。 詳細については、Git ドキュメントの
push.defaultオプションを参照してください。 - プッシュ時にsecret scanningがタイムアウトした場合でも、GitHub ではプッシュ後もシークレットのコミットをスキャンします。
Tip: You can use secret scanning as a push protection from the web UI, as well as the command line, in GitHub Enterprise Server version 3.6 or later.
Allowing a blocked secret to be pushed
If GitHub blocks a secret that you believe is safe to push, you can allow the secret and specify the reason why it should be allowed.
シークレットのプッシュを許可すると、[セキュリティ] タブにアラートが作成されます。GitHub はアラートを閉じ、シークレットが擬陽性であるか、テストでのみ使用されることを指定した場合は通知を送信しません。 シークレットが実際のものであり、後で修正することを指定した場合、GitHub はセキュリティ アラートを開いたままにし、コミットの作成者とリポジトリ管理者に通知を送信します。 詳細については、「シークレット スキャンからのアラートの管理」を参照してください。
- Visit the URL returned by GitHub when your push was blocked.
- シークレットをプッシュできる理由を最もよく表しているオプションを選択します。
- シークレットがテストでのみ使用され、脅威がない場合は、 [テストで使用されます] をクリックします。
- 検出された文字列がシークレットでない場合は、 [誤検知です] をクリックします。
- シークレットが本物で、後で修正する予定の場合は、 [後で修正します] をクリックします。
- Click Allow me to push this secret.
- Reattempt the push on the command line within three hours. If you have not pushed within three hours, you will need to repeat this process.