シークレットスキャンニングについて

プロジェクトを外部サービスと通信させる場合、認証にトークンまたは秘密鍵を使用できます。 トークンや秘密鍵は、サービスプロバイダが発行できるシークレットです。 リポジトリにシークレットをチェックインする場合、リポジトリへの読み取りアクセスを持つすべてのユーザがシークレットを使用して、自分の権限で外部サービスにアクセスできます。 シークレットは、プロジェクトのリポジトリの外の、安全な専用の場所に保存することをお勧めします。

誰かが GitHub パートナーのシークレットをパブリックまたはプライベートリポジトリにチェックインすると、secret scanning がシークレットを検出し、リークの影響を軽減することができます。

サービスプロバイダは GitHub と提携して、スキャンのためのシークレットフォーマットを提供することができます。 詳しい情報については、「シークレットスキャニング」を参照してください。

パブリックリポジトリの secret scanning について

Secret scanning is automatically enabled on public repositories, where it scans code for secrets, to check for known secret formats. When a match of your secret format is found in a public repository, GitHub doesn't publicly disclose the information as an alert, but instead sends a payload to an HTTP endpoint of your choice. For an overview of how secret scanning works on public repositories, see "Secret scanning."

パブリックリポジトリにプッシュすると、GitHub がコミットの内容をスキャンしてシークレットを探します。 プライベートリポジトリをパブリックに切り替えると、GitHub はリポジトリ全体をスキャンしてシークレットを探します。

secret scanning が認証情報一式を検出すると、弊社はそのシークレットを発行したサービスプロバイダに通知します。 サービスプロバイダは認証情報を検証し、シークレットを取り消すか、新しいシークレットを発行するか、または直接連絡する必要があるかを決定します。これは、ユーザまたはサービスプロバイダに関連するリスクに依存します。

現在 GitHub は、パブリックリポジトリをスキャンして、次のサービスプロバイダが発行したシークレットを探します。

• Adafruit
• Alibaba Cloud
• Amazon Web Services (AWS)
• Atlassian
• Azure
• Clojars
• CloudBees CodeShip
• Databricks
• Datadog
• Discord
• Doppler
• Dropbox
• Dynatrace
• Finicity
• Frame.io
• GitHub
• GoCardless
• Google Cloud
• Hashicorp Terraform
• Hubspot
• Mailchimp
• Mailgun
• MessageBird
• npm
• NuGet
• Palantir
• Plivo
• Postman
• Proctorio
• Pulumi
• Samsara
• Shopify
• Slack
• SSLMate
• Stripe
• Tencent Cloud
• Twilio

プライベートリポジトリの secret scanning について

If you're a repository administrator or an organization owner, you can enable secret scanning for private repositories that are owned by organizations. You can enable secret scanning for all your repositories, or for all new repositories within your organization. Secret scanning is not available for user account-owned private repositories. For more information, see "Managing security and analysis settings for your repository" and "Managing security and analysis settings for your organization."

secret scanning が有効化されているプライベートリポジトリにコミットをプッシュすると、GitHub はコミットの内容をスキャンしてシークレットを探します。

secret scanning がプライベートリポジトリでシークレットを検出すると、GitHub はアラートを送信します。

• GitHub は、リポジトリ管理者と Organizationのオーナーにメールアラートを送信します。

• GitHub は、リポジトリにアラートを表示します。 詳しい情報については、「secret scanning からのアラートを管理する」を参照してください。

Repository administrators and organization owners can grant users and team access to secret scanning alerts. For more information, see "Managing security and analysis settings for your repository."

To monitor results from secret scanning across your private repositories or your organization, you can use the secret scanning API. For more information about API endpoints, see "Secret scanning."

現在 GitHub は、プライベートリポジトリをスキャンして、次のサービスプロバイダが発行したシークレットを探します。

• Adafruit
• Alibaba Cloud
• Amazon Web Services (AWS)
• Atlassian
• Azure
• Clojars
• CloudBees CodeShip
• Databricks
• Discord
• Doppler
• Dropbox
• Dynatrace
• Finicity
• Frame.io
• GitHub
• GoCardless
• Google Cloud
• Hashicorp Terraform
• Hubspot
• Mailchimp
• Mailgun
• npm
• NuGet
• Palantir
• Postman
• Proctorio
• Pulumi
• Samsara
• Shopify
• Slack
• SSLMate
• Stripe
• Tencent Cloud
• Twilio

参考リンク

• 「リポジトリのセキュリティ保護について」
• アカウントとデータをセキュアに保つ