シークレット スキャン アラートについて

さまざまな種類のシークレット スキャンニング アラートについて説明します。

この機能を使用できるユーザーについて

リポジトリの所有者、組織の所有者、セキュリティ マネージャー、および 管理者 ロールを持つユーザー

Secret scanning は、次のリポジトリの種類で使用できます。

  •         **パブリック リポジトリ**: Secret scanning は無料で自動的に実行されます。

  •         **組織所有のプライベートリポジトリと内部リポジトリ**: [GitHub Team または GitHub Enterprise Cloud](/get-started/learning-about-github/about-github-advanced-security) で有効になっている GitHub Secret Protection で使用できます。

  •         **ユーザー所有のリポジトリ**: GitHub Enterprise Cloud および Enterprise Managed Users で利用可能です。 GitHub Enterprise Server で使用できるのは、エンタープライズで [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) が有効になっている場合です。

この記事で

アラートの種類について

3 型の シークレット スキャンニング アラート があります。

  • ユーザー アラート: リポジトリでサポートされているシークレットが検出されると、リポジトリの [セキュリティ] タブでユーザーに報告されます。
  • プッシュ保護アラート: 共同作成者がプッシュ保護をバイパスすると、リポジトリの [セキュリティ] タブでユーザーに報告されます。
  • パートナー アラート: secret scanning のパートナーのプログラムの一部であるシークレット プロバイダに直接報告されます。 これらのアラートは、リポジトリの [セキュリティ] タブには報告されません。

ユーザー アラートについて

リポジトリのsecret scanningを有効にするか、secret scanningが有効になっているリポジトリにコミットをプッシュすると、サービス プロバイダーで定義されているパターンと一致するシークレットについて、GitHub によりその内容がスキャンされます。

secret scanningでシークレットが検出されると、GitHub によってアラートが送信されます。GitHub のリポジトリの [セキュリティ] タブにアラートが表示されます。

アラートをより効果的にトリアージするため、GitHub はアラートを 2 つのリストに分けます。

  •         **デフォルト**アラート

  •         **汎用**アラート

デフォルトのアラート リスト

デフォルトのアラート リストは、サポートされたパターンと指定されたカスタムパターンに関連した表示アラートを表示します。 これはアラートのメイン ビューです。

汎用アラート リスト

汎用アラート リストには、プロバイダー以外のパターン(秘密キーなど)に関連するアラート、または AI を用いて検出された汎用シークレット(パスワードなど)が表示されます。 この種類のアラートは、誤検知率またはテストで使用するシークレットの割合が高くなります。 既定のアラート リストから汎用アラート リストに切り替えることができます。

GitHub は引き続き新しいパターンとシークレットの種類を generic アラート リストにリリースし、機能が完了すると既定のリストに昇格します (つまり、 量と誤検知率が適切に低い場合)。

さらに、このカテゴリに分類されるアラートは次のとおりです。

  • リポジトリあたりのアラート数は 5,000 件に制限されています (これには、オープン アラートとクローズしたアラートが含まれます)。
  • セキュリティ概要ビューには表示されず、"Secret scanning" ビューにのみ表示されます。
  • GitHubにおいて、プロバイダー以外のパターンでは最初に検出された 5 つの位置のみが表示されます。また、AI で検出された汎用シークレットについては最初に検出された位置のみが表示されます。

GitHubがプロバイダー以外のパターンと汎用シークレットをスキャンするには、最初にリポジトリまたは組織の機能を有効にする必要があります。 詳しくは、「プロバイダー以外のパターンに対してシークレット スキャンを有効にする」と「Copilot のシークレットスキャンにおける一般的なシークレット検出の有効化」を参照してください。

データの再利用可能な秘密スキャン.secret-scanning-pattern-pair-matches %}

プッシュ保護アラートについて

プッシュ保護は、サポートされているシークレットのプッシュをスキャンします。 プッシュ保護では、サポート対象のシークレットが検出されると、プッシュがブロックされます。 共同作成者がプッシュ保護をバイパスしてシークレットをリポジトリにプッシュすると、プッシュ保護アラートが生成され、リポジトリの [セキュリティ] タブに表示されます。 リポジトリのすべてのプッシュ保護アラートを表示するには、アラート ページで bypassed: true でフィルター処理する必要があります。 詳しくは、「シークレット スキャンからのアラートの表示とフィルター処理」をご覧ください。

データの再利用可能な秘密スキャン.secret-scanning-pattern-pair-matches %}

メモ

また、"ユーザーのプッシュ保護" と呼ばれる個人用アカウントのプッシュ保護を有効にすることもできます。これにより、サポートされているシークレットが誤って_あらゆる_のパブリック リポジトリにプッシュされるのを防ぐことができます。 ユーザー ベースのプッシュ保護のみをバイパスすることを選択した場合、アラートは_作成されません_。 アラートは、リポジトリ自体でプッシュ保護が有効になっている場合にのみ作成されます。 詳細については、「ユーザーのプッシュ保護の管理」を参照してください。

以前のバージョンの特定のトークンは、プッシュ保護によってサポートされない場合があります。これらのトークンでは、最新バージョンよりも多くの誤検知が生成される可能性があるためです。 プッシュ保護は、レガシ トークンにも適用されない場合があります。 Azure Storage キーなどのトークンの場合、GitHub では、レガシ パターンに一致するトークンではなく、''最近作成された'' トークンのみがサポートされます。__ プッシュ保護の制限事項の詳細については、「シークレット スキャン検出スコープ」を参照してください。

パートナー アラートについて

GitHub で、パブリック リポジトリまたは npm パッケージで漏洩したシークレットが検出されると、GitHub のシークレット スキャン パートナー プログラムに参加しているシークレット プロバイダーにアラートが直接送信されます。 パートナーに対するシークレット スキャンニング アラート の詳細につては、「Secret scanningパートナープログラム」、および「サポートされているシークレット スキャン パターン」を参照してください。

パートナーのアラートはリポジトリ管理者に送信されないため、この種類のアラートに対して何らかのアクションを実行する必要はありません。

詳細については、次を参照してください。

  •         [AUTOTITLE](/code-security/reference/secret-security/supported-secret-scanning-patterns)

  •         [AUTOTITLE](/code-security/how-tos/secure-your-secrets/detect-secret-leaks/enabling-secret-scanning-for-non-provider-patterns)