注: この機能を使うには、サイト管理者が お使いの GitHub Enterprise Server インスタンス の secret scanning を有効にする必要があります。 詳しくは、「アプライアンスのシークレットスキャンを設定する」を参照してください。
エンタープライズオーナーがエンタープライズ レベルでポリシーを設定している場合、secret scanning を有効または無効にできない場合があります。 詳しくは、「エンタープライズのコード セキュリティと分析のためのポリシーの適用」を参照してください。
secret scanning アラートについて
シークレット スキャン が有効になっている場合、GitHub ではリポジトリで、次のサービス プロバイダーによって発行されたシークレットがスキャンされ、シークレット スキャンニング アラート が生成されます。
これらのアラートは、リポジトリの [セキュリティ] タブに表示されます。
リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。
secret scanning に REST API を使う場合は、Secret type
を使って特定の発行者からのシークレットについて報告できます。 詳しくは、「シークレット スキャン用の REST API エンドポイント」を参照してください。
注: リポジトリ、Organization、または Enterprise 用のカスタム secret scanning パターンを定義することもできます。 詳しくは、「シークレット スキャンのカスタム パターンの定義」を参照してください。
プッシュ保護アラートについて
プッシュ保護アラートは、プッシュ保護によって報告されるユーザー アラートです。 プッシュ保護として Secret scanning では、現在、次のサービス プロバイダーによって発行されたシークレットのリポジトリがスキャンされます。
リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。
以前のバージョンの特定のトークンは、プッシュ保護によってサポートされない場合があります。これらのトークンでは、最新バージョンよりも多くの誤検知が生成される可能性があるためです。 プッシュ保護は、レガシ トークンにも適用されない場合があります。 Azure Storage キーなどのトークンの場合、GitHub では、レガシ パターンに一致するトークンではなく、''最近作成された'' トークンのみがサポートされます。__プッシュ保護の制限事項について詳しくは、「シークレット スキャンのトラブルシューティング」を参照してください。
サポートされているシークレット
次の表に、secret scanning でサポートされているシークレットの一覧を示します。 トークンごとに生成されるアラートの種類を確認できます。
-
プロバイダー - トークン プロバイダーの名前。
-
Secret scanning アラート - GitHub のユーザーにリークが報告されるトークン。GitHub Advanced Security と secret scanning が有効になっているプライベート リポジトリに適用されます。
-
プッシュ保護 - GitHub のユーザーにリークが報告されるトークン。 secret scanning とプッシュ保護が有効になっているリポジトリに適用されます。
注: 以前のバージョンの特定のトークンは、プッシュ保護によってサポートされない場合があります。これらのトークンでは、最新バージョンよりも多くの誤検知が生成される可能性があるためです。 プッシュ保護は、レガシ トークンにも適用されない場合があります。 Azure Storage キーなどのトークンの場合、GitHub では、レガシ パターンに一致するトークンではなく、''最近作成された'' トークンのみがサポートされます。__プッシュ保護の制限事項について詳しくは、「シークレット スキャンのトラブルシューティング」を参照してください。
プロバイダー | トークン | Secret scanning アラート | プッシュ保護 |
---|---|---|---|
Adafruit IO | adafruit_io_key | ||
Adobe | adobe_device_token | ||
Adobe | adobe_service_token | ||
Adobe | adobe_short_lived_access_token | ||
Alibaba Cloud | alibaba_cloud_access_key_id alibaba_cloud_access_key_secret | ||
Login with Amazon | amazon_oauth_client_id amazon_oauth_client_secret | ||
Amazon Web Services (AWS) | aws_access_key_id aws_secret_access_key | ||
Amazon Web Services (AWS) | aws_session_token aws_temporary_access_key_id aws_secret_access_key | ||
Asana | asana_personal_access_token | ||
Atlassian | atlassian_api_token | ||
Atlassian | atlassian_jwt | ||
Atlassian | bitbucket_server_personal_access_token | ||
Azure | azure_active_directory_application_secret | ||
Azure | azure_cache_for_redis_access_key | ||
Azure | azure_devops_personal_access_token | ||
Azure | azure_function_key | ||
Azure | azure_sas_token | ||
Azure | azure_management_certificate | ||
Azure | azure_sql_connection_string | ||
Azure | azure_storage_account_key | ||
Beamer | beamer_api_key | ||
Checkout.com | checkout_production_secret_key | ||
Checkout.com | checkout_test_secret_key | ||
Chief Tools | chief_tools_token | ||
Clojars | clojars_deploy_token | ||
CloudBees CodeShip | codeship_credential | ||
Contentful | contentful_personal_access_token | ||
Databricks | databricks_access_token | ||
DigitalOcean | digitalocean_oauth_token | ||
DigitalOcean | digitalocean_personal_access_token | ||
DigitalOcean | digitalocean_refresh_token | ||
DigitalOcean | digitalocean_system_token | ||
Discord | discord_api_token_v2 | ||
Discord | discord_bot_token | ||
Doppler | doppler_audit_token | ||
Doppler | doppler_cli_token | ||
Doppler | doppler_personal_token | ||
Doppler | doppler_scim_token | ||
Doppler | doppler_service_token | ||
Dropbox | dropbox_access_token | ||
Dropbox | dropbox_short_lived_access_token | ||
Duffel | duffel_live_access_token | ||
Duffel | duffel_test_access_token | ||
Dynatrace | dynatrace_access_token | ||
Dynatrace | dynatrace_internal_token | ||
EasyPost | easypost_production_api_key | ||
EasyPost | easypost_test_api_key | ||
Fastly | fastly_api_token | ||
Figma | figma_pat | ||
Finicity | finicity_app_key | ||
Flutterwave | flutterwave_live_api_secret_key | ||
Flutterwave | flutterwave_test_api_secret_key | ||
Frame.io | frameio_developer_token | ||
Frame.io | frameio_jwt | ||
FullStory | fullstory_api_key | ||
GitHub | github_app_installation_access_token | ||
GitHub | github_oauth_access_token | ||
GitHub | github_personal_access_token | ||
GitHub | github_refresh_token | ||
GitHub | github_ssh_private_key | ||
GitLab | gitlab_access_token | ||
GoCardless | gocardless_live_access_token | ||
GoCardless | gocardless_sandbox_access_token | ||
firebase_cloud_messaging_server_key | |||
google_cloud_storage_service_account_access_key_id google_cloud_storage_access_key_secret | |||
google_cloud_storage_user_access_key_id google_cloud_storage_access_key_secret | |||
google_oauth_access_token | |||
google_oauth_client_id google_oauth_client_secret | |||
google_oauth_refresh_token | |||
Google Cloud | google_api_key | ||
Google Cloud | google_cloud_private_key_id | ||
Grafana | grafana_cloud_api_key | ||
Grafana | grafana_cloud_api_token | ||
Grafana | grafana_project_api_key | ||
Grafana | grafana_project_service_account_token | ||
Hashicorp Terraform | terraform_api_token | ||
Hubspot | hubspot_api_key | ||
Hubspot | hubspot_api_personal_access_key | ||
Intercom | intercom_access_token | ||
Ionic | ionic_personal_access_token | ||
Ionic | ionic_refresh_token | ||
JD Cloud | jd_cloud_access_key | ||
JFrog | jfrog_platform_access_token | ||
JFrog | jfrog_platform_api_key | ||
Linear | linear_api_key | ||
Linear | linear_oauth_access_token | ||
Lob | lob_live_api_key | ||
Lob | lob_test_api_key | ||
LocalStack | localstack_api_key | ||
Mailchimp | mailchimp_api_key | ||
Mailgun | mailgun_api_key | ||
Mapbox | mapbox_secret_access_token | ||
MessageBird | messagebird_api_key | ||
Meta | facebook_access_token | ||
Midtrans | midtrans_production_server_key | ||
Midtrans | midtrans_sandbox_server_key | ||
New Relic | new_relic_insights_query_key | ||
New Relic | new_relic_license_key | ||
New Relic | new_relic_personal_api_key | ||
New Relic | new_relic_rest_api_key | ||
Notion | notion_integration_token | ||
Notion | notion_oauth_client_secret | ||
npm | npm_access_token | ||
NuGet | nuget_api_key | ||
Octopus Deploy | octopus_deploy_api_key | ||
Onfido | onfido_live_api_token | ||
Onfido | onfido_sandbox_api_token | ||
OpenAI | openai_api_key | ||
OpenAI | openai_api_key_v2 | ||
Palantir | palantir_jwt | ||
Persona | persona_production_api_key | ||
Persona | persona_sandbox_api_key | ||
PlanetScale | planetscale_database_password | ||
PlanetScale | planetscale_oauth_token | ||
PlanetScale | planetscale_service_token | ||
Plivo | plivo_auth_id plivo_auth_token | ||
Postman | postman_api_key | ||
Prefect | prefect_server_api_key | ||
Prefect | prefect_user_api_key | ||
Proctorio | proctorio_consumer_key | ||
Proctorio | proctorio_linkage_key | ||
Proctorio | proctorio_registration_key | ||
Proctorio | proctorio_secret_key | ||
Pulumi | pulumi_access_token | ||
PyPI | pypi_api_token | ||
ReadMe | readmeio_api_access_token | ||
redirect.pizza | redirect_pizza_api_token | ||
RubyGems | rubygems_api_key | ||
Samsara | samsara_api_token | ||
Samsara | samsara_oauth_access_token | ||
SendGrid | sendgrid_api_key | ||
Sendinblue | sendinblue_api_key | ||
Sendinblue | sendinblue_smtp_key | ||
Shippo | shippo_live_api_token | ||
Shippo | shippo_test_api_token | ||
Shopify | shopify_access_token | ||
Shopify | shopify_app_client_credentials | ||
Shopify | shopify_app_client_secret | ||
Shopify | shopify_app_shared_secret | ||
Shopify | shopify_custom_app_access_token | ||
Shopify | shopify_marketplace_token | ||
Shopify | shopify_merchant_token | ||
Shopify | shopify_partner_api_token | ||
Shopify | shopify_private_app_password | ||
Slack | slack_api_token | ||
Slack | slack_incoming_webhook_url | ||
Slack | slack_workflow_webhook_url | ||
Square | square_access_token | ||
Square | square_production_application_secret | ||
Square | square_sandbox_application_secret | ||
SSLMate | sslmate_api_key | ||
SSLMate | sslmate_cluster_secret | ||
Stripe | stripe_live_restricted_key | ||
Stripe | stripe_api_key | ||
Stripe | stripe_legacy_api_key | ||
Stripe | stripe_test_restricted_key | ||
Stripe | stripe_test_secret_key | ||
Stripe | stripe_webhook_signing_secret | ||
Supabase | supabase_service_key | ||
Tableau | tableau_personal_access_token | ||
Telegram | telegram_bot_token | ||
Telnyx | telnyx_api_v2_key | ||
Tencent Cloud | tencent_cloud_secret_id | ||
Tencent WeChat | tencent_wechat_api_app_id | ||
Twilio | twilio_access_token | ||
Twilio | twilio_account_sid | ||
Twilio | twilio_api_key | ||
Typeform | typeform_personal_access_token | ||
Uniwise | wiseflow_api_key | ||
Yandex | yandex_iam_access_secret | ||
Yandex | yandex_cloud_api_key | ||
Yandex | yandex_cloud_iam_cookie | ||
Yandex | yandex_cloud_iam_token | ||
Yandex | yandex_dictionary_api_key | ||
Yandex | yandex_predictor_api_key | ||
Yandex | yandex_translate_api_key | ||
Zuplo | zuplo_consumer_api_key |
参考資料
- リポジトリを保護する
- アカウントとデータを安全に保つ
- GitHub Enterprise Cloud ドキュメントの「Secret scanningパートナープログラム」