Skip to main content

シークレット スキャンによるプッシュの保護

secret scanning を使って、プッシュ保護を有効にすることで、サポートされているシークレットが Enterprise、Organization 、またはリポジトリにプッシュされないようにすることができます。

ご自分のエンタープライズで GitHub Advanced Security のライセンスがある場合、GitHub Enterprise Server の Organization 所有のリポジトリで Secret scanning が利用できます。 詳細については、「GitHub Enterprise Server の secret scanning について」と「GitHub Advanced Security について」を参照してください。

注: この機能を使うには、サイト管理者が your GitHub Enterprise Server instance の secret scanning を有効にする必要があります。 詳しくは、「アプライアンスでの secret scanning の構成」をご覧ください。

注: 保護プッシュとしてのSecret scanningは、現在ベータ版であり、変更される可能性があります。

シークレットのプッシュ保護について

これまで、secret scanning は、プッシュの "後" でシークレットをチェックし、公開されたシークレットについてユーザーに警告します。__ プッシュ保護を有効にすると、secret scanning は、信頼度の高いシークレット (誤検知率が低いシークレット) のプッシュもチェックします。 Secret scanning には、作成者がシークレットを確認して削除できるように、検出したシークレットが一覧表示されます。また、必要に応じて、それらのシークレットをプッシュできるようにします。

共同作成者がシークレットのプッシュ保護ブロックをバイパスする場合、GitHub では次のことが行われます。

  • リポジトリの [セキュリティ] タブに、以下の表で説明されている状態のアラートが作成される。
  • バイパス イベントを監査ログに追加する。
  • リポジトリを監視している組織の所有者、セキュリティ マネージャー、リポジトリ管理者に、シークレットへのリンクとそれが許可された理由を含むメール アラートを送信する。

次の表は、ユーザーがプッシュ保護ブロックをバイパスする方法ごとのアラートの動作を示しています。

バイパスの理由アラート動作
It's used in tests (テストで使用)GitHub は、"テストで使用" として解決されたクローズしたアラートを作成します
It's a false positive (偽陽性)GitHub は、"偽陽性" として解決されたクローズしたアラートを作成します
I'll fix it later (後で修正)GitHub は、オープンなアラートを作成します

プッシュ保護に対応しているシークレットとサービス プロバイダーの詳細については、「Secret scanning パターン」を参照してください。

プッシュ保護としての secret scanning の有効化

プッシュ保護として secret scanning を使うには、Enterprise、Organization 、またはリポジトリで GitHub Advanced Security と secret scanning の両方が有効になっている必要があります。 詳しくは、Enterprise のセキュリティと分析の設定の管理に関する記事、「Organization のセキュリティおよび分析設定を管理する」、「リポジトリのセキュリティと分析設定を管理する」、および「GitHub Advanced Security について」をご覧ください。

組織の所有者、セキュリティ マネージャー、リポジトリ管理者は、UI と API を介して secret scanning のプッシュ保護を有効にすることができます。 詳細については、「リポジトリ」を参照し、REST API ドキュメントの "security_and_analysis オブジェクトのプロパティ" セクションを展開します。

Eenterprise のプッシュ保護として secret scanning を有効にする

  1. GitHub Enterprise Server の右上で、ご自分のプロファイル写真をクリックしてから、 [Enterprise 設定] をクリックします。 GitHub Enterprise Server のプロファイル写真のドロップダウン メニューの [自分の Enterprise] 1. エンタープライズ アカウントのサイドバーで、 [設定] をクリックします。 エンタープライズ アカウントのサイドバー内の [設定] タブ

  2. 左側のサイドバーで、 [コードのセキュリティと分析] をクリックします。

  3. Secret scanning の [プッシュ保護] の下にある [すべて有効にする] をクリックします。

    エンタープライズの secret scanning のプッシュ保護を有効にする方法を示すスクリーンショット

  4. 必要に応じて、[secret scanning に追加されたリポジトリに対して自動的に有効にする] をクリックします。

組織のプッシュ保護としての secret scanning の有効化

  1. your GitHub Enterprise Server instance で、Organization のメイン ページへ移動します。 1. Organization 名の下で、 [設定] をクリックします。 Organization の設定ボタン

  2. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

  3. [コードのセキュリティと分析] の下で、「GitHub Advanced Security」を見つけてください。 1. Secret scanning の [プッシュ保護] の下にある [すべて有効にする] をクリックします。 組織の secret scanning に対してプッシュ保護を有効にする方法を示すスクリーンショット

  4. 必要に応じて、[Automatically enable for repositories added to secret scanning] をクリックしてください。

  5. メンバーがシークレットの push を試みると表示されるメッセージ内にカスタム リンクを含めるには、必要に応じて、 [コミットがブロックされたらリソース リンクを CLI と Web UI に追加する] を選んで、URL を入力したら [リンクの保存] をクリックしてください。

    カスタム リンクを有効にするためのチェックボックスとテキスト フィールドを示すスクリーンショット

リポジトリのプッシュ保護としての secret scanning の有効化

  1. your GitHub Enterprise Server instance で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下の [ 設定] をクリックします。 リポジトリの設定ボタン
  2. サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
  3. [コードのセキュリティと分析] の下で、「GitHub Advanced Security」を見つけてください。 1. Secret scanning の [Push protection](プッシュ保護) の下にある [有効にする] をクリックします。 リポジトリの secret scanning のプッシュ保護を有効にする方法を示すスクリーンショット

コマンド ラインからのプッシュ保護としてシークレット スキャンを使用する

プッシュ保護としての secret scanning が有効になっているリポジトリまたは組織に、サポートされているシークレットをプッシュしようとすると、GitHub によってプッシュがブロックされます。 ブランチからシークレットを削除するか、指定された URL に従ってプッシュを許可できます。

検出されたシークレットは、コマンド ラインに一度に最大 5 つ表示されます。 リポジトリで特定のシークレットが既に検出されていて、アラートが既に存在する場合、GitHub はそのシークレットをブロックしません。

Organization の管理者は、push がブロックされると表示されるカスタム リンクを指定できます。 このカスタム リンクには、推奨されるシークレット コンテナーの使用についての指示や、ブロックされたシークレットに関連する質問を問い合わせるユーザーなど、Organization 固有のリソースやアドバイスを含めることができます。

ユーザーがリポジトリにシークレットをプッシュしようとしたときにプッシュがブロックされることを示すスクリーンショット

シークレットが本物であることを確認したら、再度プッシュする前に、ブランチから ("それが表示されるすべてのコミットから") シークレットを削除する必要があります。__ ブロックされたシークレットの修復について詳しくは、「プッシュ保護によってブロックされたブランチのプッシュ」を参照してください。

シークレットが本物で、後で修正する予定であることを確認する場合は、できるだけ早くシークレットの修復を目指す必要があります。 たとえば、シークレットを取り消し、リポジトリのコミット履歴からシークレットを削除できます。 不正アクセスを回避するために、公開されている実際のシークレットを取り消す必要があります。 取り消す前に、まずシークレットをローテーションすることを検討できます。 詳細については、「Removing sensitive data from a repository」 (リポジトリからの機密データの削除) を参照してください。

:

  • Git 構成で現在のブランチだけでなく、複数のブランチへのプッシュがサポートされている場合、追加の意図しない参照がプッシュされるため、プッシュがブロックされる可能性があります。 詳細については、Git ドキュメントの push.default オプションを参照してください。
  • プッシュ時にsecret scanningがタイムアウトした場合でも、GitHub ではプッシュ後もシークレットのコミットをスキャンします。

ブロックされたシークレットのプッシュを許可する

GitHub が、プッシュしても安全であると思われるシークレットをブロックする場合は、シークレットを許可し、許可する必要がある理由を指定できます。

シークレットのプッシュを許可すると、 [セキュリティ] タブにアラートが作成されます。シークレットが擬陽性かテスト用のみであれば、GitHub によってアラートが閉じられ、通知が送信されません。 シークレットが実際のものであり、後で修正することを指定した場合、GitHub はセキュリティ アラートを開いたままにし、コミットの作成者とリポジトリ管理者に通知を送信します。 詳細については、「シークレット スキャンからのアラートの管理」を参照してください。

共同作成者がシークレットのプッシュ保護ブロックをバイパスすると、GitHub により、電子メール通知をオプトインした Organization の所有者、セキュリティ マネージャー、リポジトリ管理者にも電子メール アラートが送信されます。

  1. プッシュがブロックされたときに GitHub から返される URL にアクセスします。 シークレットのプッシュをブロック解除するためのオプションを含むフォームを示すスクリーンショット 2. シークレットをプッシュできる理由を最もよく表しているオプションを選択します。
    • シークレットがテストでのみ使用され、脅威がない場合は、 [テストで使用されます] をクリックします。
    • 検出された文字列がシークレットでない場合は、 [誤検知です] をクリックします。
    • シークレットが本物で、後で修正する予定の場合は、 [後で修正します] をクリックします。
  2. [このシークレットをプッシュできるようにする] をクリックします。
  3. 3 時間以内にコマンド ラインでプッシュを再試行します。 3 時間以内にプッシュしていない場合は、このプロセスを繰り返す必要があります。

Web UI からのプッシュ保護としてシークレット スキャンを使用する

Web UI を使用して、プッシュ保護が有効になっているシークレット スキャンを使用して、サポートされているシークレットをリポジトリまたは organization にコミットすると、GitHub によってプッシュがブロックされます。

ページ上部にシークレットの場所の情報を示すバナーが表示され、シークレットもファイルで下線が引かれるので、簡単に見つけることができます。

シークレット スキャンのプッシュ保護のためにブロックされた Web UI でのコミットを示すスクリーンショット

GitHub では、Web UI で検出されたシークレットを一度に 1 つのみ表示します。 リポジトリで特定のシークレットが既に検出されていて、アラートが既に存在する場合、GitHub はそのシークレットをブロックしません。

Organization の管理者は、push がブロックされると表示されるカスタム リンクを指定できます。 このカスタム リンクには、Organization 固有のリソースとアドバイスを含めることができます。 たとえば、Organization のシークレット コンテナー、質問をエスカレートするチームや個人、シークレットの操作とコミット履歴の書き換えに関して Organization で承認されたポリシーに関する情報を含む README ファイルをカスタム リンクが指すようにすることができます。

Web UI を使用して、ファイルからシークレットを削除できます。 シークレットを削除すると、ページ上部のバナーが変更され、変更をコミットできるようになったことが通知されます。

シークレットの修正後に許可される Web UI でのコミットを示すスクリーンショット

シークレットのプッシュ保護をバイパスする

シークレットが本物であることを確認したら、再度プッシュする前に、ブランチから ("それが表示されるすべてのコミットから") シークレットを削除する必要があります。__ ブロックされたシークレットの修復について詳しくは、「プッシュ保護によってブロックされたブランチのプッシュ」を参照してください。

シークレットが本物で、後で修正する予定であることを確認する場合は、できるだけ早くシークレットの修復を目指す必要があります。 詳細については、「Removing sensitive data from a repository」 (リポジトリからの機密データの削除) を参照してください。

GitHub が、プッシュしても安全であると思われるシークレットをブロックする場合は、シークレットを許可し、許可する必要がある理由を指定できます。

シークレットのプッシュを許可すると、 [セキュリティ] タブにアラートが作成されます。シークレットが擬陽性かテスト用のみであれば、GitHub によってアラートが閉じられ、通知が送信されません。 シークレットが実際のものであり、後で修正することを指定した場合、GitHub はセキュリティ アラートを開いたままにし、コミットの作成者とリポジトリ管理者に通知を送信します。 詳細については、「シークレット スキャンからのアラートの管理」を参照してください。

共同作成者がシークレットのプッシュ保護ブロックをバイパスすると、GitHub により、電子メール通知をオプトインした Organization の所有者、セキュリティ マネージャー、リポジトリ管理者にも電子メール アラートが送信されます。

シークレットが本物で、後で修正する予定であることを確認する場合は、できるだけ早くシークレットの修復を目指す必要があります。

  1. GitHub がコミットをブロックしたときにページの上部に表示されるバナーで、 [保護のバイパス] をクリックします。

  2. シークレットをプッシュできる理由を最もよく表しているオプションを選択します。

    • シークレットがテストでのみ使用され、脅威がない場合は、 [テストで使用されます] をクリックします。
    • 検出された文字列がシークレットでない場合は、 [誤検知です] をクリックします。
    • シークレットが本物で、後で修正する予定の場合は、 [後で修正します] をクリックします。

    シークレットのプッシュをブロック解除するためのオプションを含むフォームを示すスクリーンショット

  3. [シークレットの許可] をクリックします。