注: この機能を使うには、サイト管理者が お使いの GitHub Enterprise Server インスタンス の secret scanning を有効にする必要があります。 詳しくは、「アプライアンスのシークレットスキャンを設定する」を参照してください。
アラートでサポートされているシークレット
シークレット スキャン が有効になっている場合、GitHub はリポジトリで、次のサービス プロバイダーによって発行されたシークレットをスキャンし、シークレット スキャン アラート を生成します。 これらのアラートは、リポジトリの [セキュリティ] タブに表示されます。
リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。
secret scanning に REST API を使う場合は、Secret type
を使って特定の発行者からのシークレットについて報告できます。 詳しくは、「シークレット スキャン」を参照してください。
注: リポジトリ、Organization、または Enterprise 用のカスタム secret scanning パターンを定義することもできます。 詳しくは、「シークレット スキャンのカスタム パターンの定義」を参照してください。
プロバイダー | サポートされているシークレット | シークレットの種類 |
---|
プッシュ保護でサポートされるシークレット
プッシュ保護として Secret scanning は、現在、次のサービス プロバイダーによって発行されたシークレットのリポジトリをスキャンします。
リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。
以前のバージョンの特定のトークンは、プッシュ保護によってサポートされない場合があります。これらのトークンでは、最新バージョンよりも多くの誤検知が生成される可能性があるためです。 プッシュ保護は、レガシ トークンにも適用されない場合があります。 Azure Storage キーなどのトークンの場合、GitHub では、レガシ パターンに一致するトークンではなく、''最近作成された'' トークンのみがサポートされます。__プッシュ保護の制限事項について詳しくは、「シークレット スキャンのトラブルシューティング」を参照してください。
プロバイダー | サポートされているシークレット | シークレットの種類 |
---|
参考資料
- リポジトリを保護する
- アカウントとデータを安全に保つ
- GitHub Enterprise Cloud ドキュメントの「Secret scanningパートナープログラム」