パートナーに対するシークレット スキャンニング アラート
について
現在、GitHub では、パートナーシップ プログラムに参加した特定のサービス プロバイダーが発行したシークレットをパブリック リポジトリとパブリック npm パッケージでスキャンし、コミットでシークレットが検出されるたびにそのサービス プロバイダーを警告します。 サービス プロバイダーは文字列を検証してから、シークレットを取り消すか、新しいシークレットを発行するか、または直接連絡するかを決定します。 その対応は、ユーザーまたはプロバイダーに関連するリスクによって決まります。 パートナー プログラムについては、「Secret scanningパートナープログラム」を参照してください。
Note
パブリック リポジトリ上のパートナー パターンの secret scanning の構成を変更することはできません。
いずれかのシークレットに対してリークが検出されるたびに、パートナーのアラートがシークレット プロバイダーに直接送信される理由は、プロバイダーがユーザーを保護し、リソースを保護するための迅速なアクションを実行できるようにするためです。 通常のアラートの通知プロセスは異なります。 通常のアラートは、解決できるように GitHub 上の [セキュリティ] タブに表示されます。
リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。
サポートされているシークレットとは
プッシュ保護がサポートするシークレットとサービス プロバイダーの詳細については、「サポートされているシークレット スキャン パターン」を参照してください。