シークレット スキャンからのアラートの監視

シークレット スキャン アラートについて GitHub から通知を受け取る方法とタイミングについて説明します。

この機能を使用できるユーザーについて

Secret scanning alerts for partners runs automatically on public repositories and public npm packages to notify service providers about leaked secrets on GitHub.

Secret scanning alerts for users are available for public repositories for free. Organizations using GitHub Enterprise Cloud with a license for GitHub Advanced Security can also enable secret scanning alerts for users on their private and internal repositories. For more information, see "About secret scanning alerts" and "About GitHub Advanced Security."

For information about how you can try GitHub Enterprise with GitHub Advanced Security for free, see "Setting up a trial of GitHub Enterprise Cloud" and "Setting up a trial of GitHub Advanced Security" in the GitHub Enterprise Cloud documentation.

この記事の内容

シークレット スキャンニング アラート

の通知を構成する

リポジトリの [セキュリティ] タブにアラートを表示するだけでなく、GitHub はアラートの電子メール通知を送信することもできます。 これらの通知は、増分スキャンと履歴スキャンで異なります。

増分スキャン

新しいシークレットが検出されると GitHub によって、通知設定に従ってリポジトリのセキュリティ アラートにアクセスできるすべてのユーザーに通知されます。 これらのユーザーは次のとおりです。

  • リポジトリ管理者
  • セキュリティマネージャー
  • 読み書きアクセス権が与えられるカスタム ロールを持つユーザー
  • Organization 所有者とエンタープライズ所有者。シークレットが漏洩したリポジトリの管理者である場合

Note

シークレットを誤ってコミットしてしまったコミット作成者には、通知の基本設定に関係なく通知が行われます。

次の場合に、電子メール通知を受け取ります。

  • リポジトリをウォッチしている。
  • リポジトリ で [すべてのアクティビティ]、またはカスタムの [セキュリティ アラート] の通知を有効にしている。
  • 通知設定にある [サブスクリプション] の [ウォッチ] で、電子メールによる通知を受け取ることを選んだ。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリのウォッチを開始するには、 [ ウォッチ] を選んでください。

    リポジトリのメイン ページのスクリーンショット。 [ウォッチ] というタイトルが付いたドロップダウン メニューがオレンジ色の枠線で強調表示されています。

  3. ドロップダウン メニューで、 [すべてのアクティビティ] を選びます。 または、セキュリティ アラートのみをサブスクライバーにする場合は、 [カスタム] を選び、 [セキュリティ アラート] を選びます。

  4. 個人用アカウントの通知設定に移動します。 https://github.com/settings/notifications で利用できます。

  5. 通知設定のページの、[サブスクリプション] にある [視聴] で、 [通知する] ドロップダウンを選びます。

  6. 通知方法として [Email] を選び、 [保存] を選びます。

    ユーザー アカウントの通知設定のスクリーンショット。 "サブスクリプション" というタイトルの要素ヘッダーと、"ウォッチ中" というタイトルのサブヘッダーが表示されています。 [Email] というチェックボックスがオレンジ色の枠線で強調されています。

通知設定について詳しくは、「リポジトリのセキュリティと分析設定を管理する」と「個々のリポジトリのウォッチ設定の構成」を参照してください。

履歴スキャン

履歴スキャンの場合、GitHub では次のユーザーに通知します。

  • 組織所有者、エンタープライズ所有者、セキュリティ マネージャー - 履歴スキャンの完了時に必ず。シークレットが見つからないとしても。
  • リポジトリ管理者、セキュリティ マネージャー、読み書きアクセス権が与えられるカスタム ロールを持つユーザー - 履歴スキャンでシークレットが見つかったときは必ず。通知設定に基づいて。

コミット作成者には通知 "しません"。

通知設定について詳しくは、「リポジトリのセキュリティと分析設定を管理する」と「個々のリポジトリのウォッチ設定の構成」を参照してください。

シークレット スキャン アラートへの応答の監査

GitHub ツールを使用して、secret scanning アラートに応答して実行されたアクションを監査できます。 詳しくは、「セキュリティ アラートの監査」を参照してください。