Skip to main content

シークレット スキャンからのアラートの表示とフィルター処理

リポジトリの ユーザーに対するシークレット スキャンニング アラート を検索してフィルター処理する方法について説明します。

この機能を使用できるユーザーについて

リポジトリの所有者、組織の所有者、セキュリティ マネージャー、および 管理者 ロールを持つユーザー

secret scanningアラートページについて

リポジトリのsecret scanningを有効にするか、secret scanningが有効になっているリポジトリにコミットをプッシュすると、サービス プロバイダーで定義されているパターンと一致するシークレットについて、GitHub によりその内容がスキャンされます。

secret scanningでシークレットが検出されると、GitHub によってアラートが送信されます。GitHub のリポジトリの [セキュリティ] タブにアラートが表示されます。

アラートの表示

secret scanning のアラートは、リポジトリの [セキュリティ] タブに表示されます。

  1. GitHub で、リポジトリのメイン ページに移動します。
  2. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。
    タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。
  3. 左側のサイドバーの [Vulnerability alerts] (脆弱性アラート) で、 [Secret scanning] をクリックします。
  4. [Secret scanning]で、表示するアラートをクリックします。

アラートのフィルター処理

アラート リストにさまざまなフィルターを適用し、関心のあるアラートを見つけることができます。 アラート リストの上にあるドロップダウン メニューを使用したり、テーブルにリストされた修飾子を検索バーに入力したりすることができます。

修飾子説明
is:open開いたアラートを表示します。
is:closed終了したアラートを表示します。
bypassed: trueプッシュ保護がバイパスされたシークレットのアラートを表示します。 詳しくは、「プッシュ保護について」を参照してください。
validity:activeアクティブであることがわかっているシークレットのアラートを表示します。 GitHubトークンにのみ適用されます。 有効性の状態の詳細については、「シークレット スキャンからのアラートの評価。」を参照してください
validity:inactiveアクティブではなくなったシークレットのアラートを表示します。
validity:unknownシークレットの有効性の状態が不明な場合、シークレットのアラートを表示します。
secret-type:SECRET-NAMEたとえば、secret-type:github_personal_access_token のような特定のシークレット タイプのアラートを表示します。 サポートされているシークレットの種類のリストについては、「サポートされているシークレット スキャン パターン」を参照してください。
provider:PROVIDER-NAMEたとえば、provider:github のような特定のプロバイダーのアラートを表示します。 サポートされているパートナーのリストについては、「サポートされているシークレット スキャン パターン」を参照してください。

次の手順