現在、GitHub AE は限定的リリースです。

シークレット スキャンからのアラートの管理

この記事の内容

リポジトリにチェックインしたシークレットのアラートを表示したりクローズしたりすることができます。

この機能を使用できるユーザー

People with admin access to a repository can view and dismiss secret scanning alerts for the repository.

GitHub AE の Organization 所有のリポジトリで Secret scanning が利用できます。 これは GitHub Advanced Security の機能です (ベータ リリース中は無料)。

シークレット スキャンニング アラート

を管理する

  1. ご自分のエンタープライズ で、リポジトリのメイン ページへ移動します。

  2. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。 タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。

  3. 左側のサイドバーの [Vulnerability alerts] (脆弱性アラート) で、 [Secret scanning] をクリックします。

  4. [Secret scanning] で、表示するアラートをクリックします。

  5. アラートを無視するには、[次のマークを付ける] ドロップダウン メニューを選び、アラートを解決する理由をクリックします。

侵害されたシークレットを保護する

シークレットがリポジトリにコミットされたら、シークレットが侵害されたと考える必要があります。 GitHub は、侵害されたシークレットに対して次のアクションを行うことをおすすめします。

  • 侵害された GitHub personal access token については、侵害されたトークンを削除し、新しいトークンを作成し、古いトークンを使っていたサービスを更新してください。 詳しくは、「個人用アクセス トークンを管理する」を参照してください。
  • それ以外のすべてのシークレットについては、最初に GitHub AE にコミットされたシークレットが有効であることを確認してください。 有効な場合は、新しいシークレットを作成し、古いシークレットを使用するサービスをすべて更新して、古いシークレットを削除します。

シークレット スキャンニング アラート

の通知を構成する

新しいシークレットが検出されると GitHub AE によって、通知設定に従ってリポジトリのセキュリティ アラートにアクセスできるすべてのユーザーに通知されます。 これらのユーザーは次のとおりです。

  • リポジトリ管理者
  • セキュリティマネージャー
  • 読み書きアクセス権が与えられるカスタム ロールを持つユーザー
  • Organization 所有者とエンタープライズ所有者。シークレットが漏洩したリポジトリの管理者である場合

注: コミット作成者がシークレットを間違ってコミットした場合、通知設定に関係なくその者に通知されます。

次の場合に、電子メール通知を受け取ります。

  • リポジトリをウォッチしている。
  • リポジトリ

通知設定について詳しくは、「リポジトリのセキュリティと分析設定を管理する」と「個々のリポジトリのウォッチ設定の構成」を参照してください。

シークレット スキャン アラートへの応答の監査

GitHub ツールを使用して、secret scanning アラートに応答して実行されたアクションを監査できます。 詳しくは、「セキュリティ アラートの監査」を参照してください。