シークレット スキャン アラートについて

さまざまな種類の シークレット スキャンニング アラート について説明します。

この機能を使用できるユーザーについて

People with admin access to a public repository can manage シークレット スキャンニング アラート for the repository.

Secret scanning alerts for partners runs automatically on public repositories and public npm packages to notify service providers about leaked secrets on GitHub.

Secret scanning alerts for users are available for public repositories for free. Organizations using GitHub Enterprise Cloud with a license for GitHub Advanced Security can also enable secret scanning alerts for users on their private and internal repositories. For more information, see "About secret scanning alerts" and "About GitHub Advanced Security."

For information about how you can try GitHub Enterprise with GitHub Advanced Security for free, see "Setting up a trial of GitHub Enterprise Cloud" and "Setting up a trial of GitHub Advanced Security" in the GitHub Enterprise Cloud documentation.

この記事の内容

アラートの種類について

3 型の シークレット スキャンニング アラート があります。

  • ユーザー アラート: リポジトリでサポートされているシークレットが検出されると、リポジトリの [セキュリティ] タブでユーザーに報告されます。
  • プッシュ保護アラート: 共同作成者がプッシュ保護をバイパスすると、リポジトリの [セキュリティ] タブでユーザーに報告されます。
  • パートナー アラート: secret scanning のパートナーのプログラムの一部であるシークレット プロバイダに直接報告されます。 これらのアラートは、リポジトリの [セキュリティ] タブには報告されません。

ユーザー アラート について

secret scanning が有効になっているリポジトリで、GitHub がサポートされているシークレットを検出すると、ユーザー アラートが生成され、リポジトリの [セキュリティ] タブに表示されます。

リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。

プッシュ保護アラートについて

プッシュ保護は、サポートされているシークレットのプッシュをスキャンします。 プッシュ保護は、サポートされているシークレットを検出すると、プッシュをブロックします。 共同作成者がプッシュ保護をバイパスしてシークレットをリポジトリにプッシュすると、プッシュ保護アラートが生成され、リポジトリの [セキュリティ] タブに表示されます。 リポジトリのすべてのプッシュ保護アラートを表示するには、アラート ページで bypassed: true によってフィルター処理する必要があります。 詳しくは、「シークレット スキャンからのアラートの表示とフィルター処理」を参照してください。

リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。

Note

また、"ユーザーのプッシュ保護" と呼ばれる個人用アカウントのプッシュ保護を有効にすることもできます。これにより、サポートされているシークレットが誤って 任意 のパブリック リポジトリにプッシュされるのを防ぐことができます。 ユーザー ベースのプッシュ保護のみをバイパスすることを選択した場合、アラートは 作成されません。 アラートは、リポジトリ自体でプッシュ保護が有効になっている場合にのみ作成されます。 詳しくは、「ユーザーのプッシュ保護」をご覧ください。

以前のバージョンの特定のトークンは、プッシュ保護によってサポートされない場合があります。これらのトークンでは、最新バージョンよりも多くの誤検知が生成される可能性があるためです。 プッシュ保護は、レガシ トークンにも適用されない場合があります。 Azure Storage キーなどのトークンの場合、GitHub では、レガシ パターンに一致するトークンではなく、''最近作成された'' トークンのみがサポートされます。__プッシュ保護の制限事項について詳しくは、「シークレット スキャンのトラブルシューティング」を参照してください。

パートナー アラートについて

GitHub がパブリック リポジトリまたは npm パッケージで漏洩したシークレットを検出すると、アラートは、GitHub のシークレット スキャン パートナー プログラムの一部である場合、シークレット プロバイダーに直接送信されます。 パートナーに対するシークレット スキャンニング アラート について詳しくは、「Secret scanningパートナープログラム」および「サポートされているシークレット スキャン パターン」を参照してください。

パートナーのアラートはリポジトリ管理者に送信されないため、この種類のアラートに対して何らかのアクションを実行する必要はありません。

次の手順

参考資料