Skip to main content

パートナーのシークレット スキャンについて

secret scanning が GitHub のパブリック リポジトリでサービス プロバイダーの認証の詳細を検出すると、アラートがプロバイダーに直接送信されます。 これにより、GitHub パートナーであるサービス プロバイダーは、システムをセキュリティで保護するためのアクションを迅速に実行できます。

この機能を使用できるユーザーについて

パートナーに対するシークレット スキャンニング アラート は、既定で次のリポジトリで実行されます:

  • GitHub のパブリック リポジトリとパブリック npm パッケージ

パートナーに対するシークレット スキャンニング アラート

について

現在、GitHub では、パートナーシップ プログラムに参加した特定のサービス プロバイダーが発行したシークレットをパブリック リポジトリとパブリック npm パッケージでスキャンし、コミットでシークレットが検出されるたびにそのサービス プロバイダーを警告します。 サービス プロバイダーは文字列を検証してから、シークレットを取り消すか、新しいシークレットを発行するか、または直接連絡するかを決定します。 その対応は、ユーザーまたはプロバイダーに関連するリスクによって決まります。 パートナー プログラムについては、「Secret scanningパートナープログラム」を参照してください。

Note

パブリック リポジトリ上のパートナー パターンの secret scanning の構成を変更することはできません。

いずれかのシークレットに対してリークが検出されるたびに、パートナーのアラートがシークレット プロバイダーに直接送信される理由は、プロバイダーがユーザーを保護し、リソースを保護するための迅速なアクションを実行できるようにするためです。 通常のアラートの通知プロセスは異なります。 通常のアラートは、解決できるように GitHub 上の [セキュリティ] タブに表示されます。

リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。

サポートされているシークレットとは

プッシュ保護がサポートするシークレットとサービス プロバイダーの詳細については、「サポートされているシークレット スキャン パターン」を参照してください。

参考資料