アプライアンスのシークレットスキャンを設定する

secret scanningについて

既知のパターンを持つシークレットを誰かがリポジトリにチェックインすると、secret scanning ではチェックイン時にシークレットをキャッチするため、リークの影響を軽減するのに役立ちます。シークレット管理者は、シークレットを含むコミットについての通知を受け取り、検出されたすべてのシークレットをリポジトリの [セキュリティ] タブですぐに確認できます。詳しくは、「シークレットスキャンについて」を参照してください。

ライセンスに GitHub Advanced Security

が含まれているかどうかを確認する

エンタープライズ設定を確認することで、エンタープライズに GitHub Advanced Security ライセンスがあるかどうかを確認できます。詳しくは、「自社で GitHub Advanced Security を有効にする」を参照してください。

secret scanning の前提条件

お使いの GitHub Enterprise Server インスタンスを実行する VM/KVM で SSSE3 (Supplemental Streaming SIMD Extensions 3) CPU フラグを有効にする必要があります。 SS Standard Edition 3 の詳細については、Intel ドキュメントのIntel 64 および IA-32 アーキテクチャ最適化リファレンスマニュアルを参照してください。
GitHub Advanced Security のライセンス (「GitHub Advanced Security の課金について」を参照)
管理コンソールで Secret scanning が有効になっている (「自社で GitHub Advanced Security を有効にする」を参照)

vCPU での SSSE3 フラグのサポートを確認する

secret scanning はハードウェアアクセラレーションによるパターンマッチングを利用して、GitHub リポジトリにコミットされた潜在的な認証情報を見つけるため、SSSE3 の一連の命令が必要です。 SSSE3 は、ほとんどの最新の CPU で有効になっています。 GitHub Enterprise Server インスタンスで使用可能な vCPU に対して SSSE3 が有効になっているかどうかを確認できます。

GitHub Enterprise Server インスタンスの管理シェルに接続します。詳しくは、「管理シェル (SSH) にアクセスする」を参照してください。
次のコマンドを入力します。
```
grep -iE '^flags.*ssse3' /proc/cpuinfo >/dev/null | echo $?
```
これで値 0 が返される場合は、SSSE3 フラグが使用可能で有効になっていることを示します。お使いの GitHub Enterprise Server インスタンスに対して secret scanning を有効化できるようになりました。詳細については、「secret scanning の有効化」を参照してください。

これで 0 が返されない場合、SSSE3 は VM/KVM で有効になっていません。フラグを有効化する方法、またはゲスト VM で使用可能にする方法については、ハードウェア/ハイパーバイザーのドキュメントを参照する必要があります。

secret scanning の有効化

警告: この設定を変更すると、GitHub Enterprise Server 上のユーザーが利用するサービスが再起動されます。ユーザーのダウンタイムを最小限に抑えるために、この変更のタイミングは慎重に選ぶ必要があります。

GitHub Enterprise Server の管理アカウントから、任意のページの右上隅でをクリックします。
[サイト管理者] ページにまだ表示されていない場合は、左上隅の [サイト管理者] をクリックします。
[ サイト管理者] サイドバーで [Management Console] をクリックします。
[設定] サイドバーで [セキュリティ] をクリックします。
[セキュリティ] で [Secret scanning] を選択します。
[設定] サイドバーで [設定の保存] をクリックします。

注: [Management Console] に設定を保存すると、システムサービスが再起動され、ユーザーに表示されるダウンタイムが発生する可能性があります。
設定の実行が完了するのを待ってください。

secret scanning の無効化