アプライアンスのシークレットスキャンを設定する

GitHub Enterprise Server の secret scanning を有効化、構成、無効化できます。 Secret scanning を使用すると、ユーザはコードをスキャンして、誤ってコミットされたシークレットを探すことができます。

この機能を使用できるユーザーについて

Secret scanning は、次のリポジトリに使うことができます:

GitHub Advanced Security が有効な状態の組織所有リポジトリ
GitHub Advanced Security が有効になっている企業用のユーザー所有リポジトリ

この記事の内容

secret scanningについて

既知のパターンを持つシークレットを誰かがリポジトリにチェックインすると、secret scanning ではチェックイン時にシークレットをキャッチするため、リークの影響を軽減するのに役立ちます。シークレット管理者は、シークレットを含むコミットについての通知を受け取り、検出されたすべてのシークレットをリポジトリの [セキュリティ] タブですぐに確認できます。「シークレットスキャンについて」を参照してください。

ライセンスに GitHub Advanced Security

が含まれているかどうかを確認する

Enterprise の設定を見直すことで、Enterprise が Advanced Security のライセンスを所有しているかどうかを特定できます。詳しくは、「Enterprise に対して GitHub Advanced Security を有効にする」をご覧ください。

secret scanning の前提条件

GitHub Enterprise Server を実行する VM/KVM で SSSE3 (補足のストリーミング SIMD 拡張命令 3) CPU フラグを有効にする必要があります。 SS Standard Edition 3 の詳細については、Intel ドキュメントのIntel 64 および IA-32 アーキテクチャ最適化リファレンスマニュアルを参照してください。
GitHub Advanced Security のライセンス (「GitHub Advanced Security の課金について」を参照してください)
管理コンソールで Secret scanning が有効になっている (「Enterprise に対して GitHub Advanced Security を有効にする」を参照してください)

vCPU での SSSE3 フラグのサポートを確認する

secret scanning はハードウェアアクセラレーションによるパターンマッチングを利用して、GitHub リポジトリにコミットされた潜在的な認証情報を見つけるため、SSSE3 の一連の命令が必要です。 SSSE3 は、ほとんどの最新の CPU で有効になっています。 GitHub Enterprise Server インスタンスで使用可能な vCPU に対して SSSE3 が有効になっているかどうかを確認できます。

GitHub Enterprise Server インスタンスの管理シェルに接続します。「管理シェル (SSH) にアクセスする」を参照してください。
次のコマンドを入力します:
```
grep -iE '^flags.*ssse3' /proc/cpuinfo >/dev/null | echo $?
```
これで値 0 が返される場合は、SSSE3 フラグが使用可能で有効になっていることを示します。これで、secret scanning を有効にすることができます。後述する「secret scanning の有効化」を参照してください。

これで 0 が返されない場合、SSSE3 は VM/KVM で有効になっていません。フラグを有効化する方法、またはゲスト VM で使用可能にする方法については、ハードウェア/ハイパーバイザーのドキュメントを参照する必要があります。

secret scanning の有効化

Warning

この設定を変更すると、GitHub Enterprise Server 上のユーザーが利用するサービスが再起動されます。ユーザーのダウンタイムを最小限に抑えるために、この変更のタイミングは慎重に決めてください。

GitHub Enterprise Server の管理アカウントから、任意のページの右上隅にあるをクリックします。
[サイト管理者] ページにまだ表示されていない場合は、左上隅の [サイト管理者] をクリックします。
[ サイト管理者] サイドバーで [Management Console] をクリックします。
[設定] サイドバーで [セキュリティ] をクリックします。
[セキュリティ] で [Secret scanning] を選択します。
[設定] サイドバーで [設定の保存] をクリックします。

Note

[Management Console] で設定を保存すると、システムサービスが再起動され、ユーザーにわかるダウンタイムが発生する可能性があります。
設定の実行が完了するのを待ってください。

secret scanning の無効化

Warning

この設定を変更すると、GitHub Enterprise Server 上のユーザーが利用するサービスが再起動されます。ユーザーのダウンタイムを最小限に抑えるために、この変更のタイミングは慎重に決めてください。

GitHub Enterprise Server の管理アカウントから、任意のページの右上隅にあるをクリックします。
[サイト管理者] ページにまだ表示されていない場合は、左上隅の [サイト管理者] をクリックします。
[ サイト管理者] サイドバーで [Management Console] をクリックします。
[設定] サイドバーで [セキュリティ] をクリックします。
[セキュリティ] で [Secret scanning] の選択を解除します。
[設定] サイドバーで [設定の保存] をクリックします。

Note

[Management Console] で設定を保存すると、システムサービスが再起動され、ユーザーにわかるダウンタイムが発生する可能性があります。
設定の実行が完了するのを待ってください。