secret scanningアラートの管理
-
で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下にある [ セキュリティ] をクリックします。
![[セキュリティ] タブ](/web/20230116230020im_/https://docs.github.com/assets/cb-11069/images/help/repository/security-tab.png)
-
左側のサイドバーの [シークレット スキャンのアラート] をクリックします。
-
[Secret scanning] の下で、表示するアラートをクリックします。
-
アラートを無視するには、[アラートの無視] ドロップダウン メニューを選び、アラートを解決する理由をクリックします。
-
必要に応じて、無視のコメントを追加します。 無視のコメントはアラート タイムラインに追加され、監査と報告の間に正当な理由として使用できます。 アラート タイムラインで、すべての無視されたアラートと無視コメントの履歴を確認できます。 また、Secret scanning API を使って、コメントを取得または設定することもできます。 コメントは
resolution_commentフィールドに含まれています。 詳細については、REST API ドキュメントの「Secret scanning」を参照してください。![[アラートの無視] ドロップダウンでアラートを無視する方法と、無視コメントを追加するオプションを示すスクリーンショット](/web/20230116230020im_/https://docs.github.com/assets/cb-90788/images/help/repository/secret-scanning-dismissal-comment.png)
-
[アラートを無視] をクリックします。
侵害されたシークレットを保護する
シークレットがリポジトリにコミットされたら、シークレットが侵害されたと考える必要があります。 GitHub は、侵害されたシークレットに対して次のアクションを行うことをおすすめします。
- 侵害された GitHub personal access token については、侵害されたトークンを削除し、新しいトークンを作成し、古いトークンを使っていたサービスを更新してください。 詳細については、「コマンド ラインの personal access token の作成」を参照してください。
- それ以外のすべてのシークレットについては、最初に GitHub にコミットされたシークレットが有効であることを確認してください。 有効な場合は、新しいシークレットを作成し、古いシークレットを使用するサービスをすべて更新して、古いシークレットを削除します。
secret scanningアラートの通知の設定
新しいシークレットが検出されると GitHub によって、通知設定に従ってリポジトリのセキュリティ アラートにアクセスできるすべてのユーザーに通知されます。 あなたがリポジトリを監視している場合、セキュリティ アラートまたはリポジトリ上のすべてのアクティビティの通知を有効にしている場合、またはシークレットを含むコミットの作成者でリポジトリを無視していない場合は、メール通知を受け取ります。
詳細については、「リポジトリのセキュリティと分析の設定を管理する」と通知の構成に関するページを参照してください。