Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.
 

 

シークレット スキャンからのアラートの管理

In this article

リポジトリにチェックインしたシークレットのアラートを表示したりクローズしたりすることができます。

Who can use this feature

People with admin access to a public repository can view and dismiss secret scanning alerts for the repository.

Secret scanning alerts for partners は、GitHub.com 上のすべての製品のパブリック リポジトリで自動的に実行されます。 Secret scanning alerts for users は、パブリック リポジトリで利用できるほか、GitHub Enterprise Cloud を使用し、GitHub Advanced Security のライセンスを持つ Organization が所有するリポジトリで利用できます。 詳細については、「secret scanning alerts for users について」と「GitHub Advanced Security について」を参照してください。

注: secret scanning alerts for users 機能は、GitHub Free、GitHub Pro、または GitHub Team プランのユーザー向けのベータ版として利用でき、変更される可能性があります。

secret scanning alerts を管理する

注: アラートは、secret scanning alerts for users が有効になっているリポジトリに対してのみ作成されます。 無料の secret scanning alerts for partners サービスを使っているパブリック リポジトリで見つかったシークレットはパートナーに直接報告され、アラートは作成されません。 詳細については、「パートナー アラートでサポートされるシークレット」を参照してください。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブ

  2. 左側のサイドバーで、 [Secret scanning アラート] をクリックします。 [Secret scanning アラート] タブのスクリーンショット。

  3. [Secret scanning] で、表示するアラートをクリックします。 secret scanning からのアラートの一覧のスクリーンショット

  4. シークレットの有効性をチェックし、修復手順に従います。

    GitHub トークンの有効性チェックのスクリーンショット

    注: GitHub トークンの有効性チェックは現在パブリック ベータ版であり、変更される可能性があります。

    GitHub からは、GitHub トークンについてのみ、シークレットの有効性に関する情報が提供されます。

    有効期限までの日数結果
    アクティブなシークレットGitHub は、このシークレットがアクティブであることを確認しました
    アクティブなシークレットGitHub はこのシークレットのプロバイダーでチェックし、シークレットがアクティブであることを確認しました
    アクティブである可能性があるシークレットGitHub は、このトークンの種類の有効性チェックをまだサポートしていません
    アクティブである可能性があるシークレットGitHub はこのシークレットを検証できませんでした
    非アクティブとみられるシークレット未承認のアクセスが既に行われていないことを確認する必要があります

  5. アラートを無視するには、[次の状態として閉じる] ドロップダウン メニューを選び、アラートを解決する理由をクリックします。

    パートナー ドキュメントへのリンクを示す secret scanning からのアラートを無視するドロップダウン メニューのスクリーンショット

  6. 必要に応じて、無視のコメントを追加します。 無視のコメントはアラート タイムラインに追加され、監査と報告の間に正当な理由として使用できます。 アラート タイムラインで、すべての無視されたアラートと無視コメントの履歴を確認できます。 また、Secret scanning API を使って、コメントを取得または設定することもできます。 コメントは resolution_comment フィールドに含まれています。 詳細については、REST API ドキュメントの「Secret scanning」を参照してください。

    [アラートの無視] ドロップダウンでアラートを無視する方法と、無視コメントを追加するオプションを示すスクリーンショット

  7. [アラートを閉じる] をクリックします。

侵害されたシークレットを保護する

シークレットがリポジトリにコミットされたら、シークレットが侵害されたと考える必要があります。 GitHub は、侵害されたシークレットに対して次のアクションを行うことをおすすめします。

  • 侵害された GitHub personal access token については、侵害されたトークンを削除し、新しいトークンを作成し、古いトークンを使っていたサービスを更新してください。 詳細については、「コマンド ラインの personal access token の作成」を参照してください。

  • それ以外のすべてのシークレットについては、最初に GitHub にコミットされたシークレットが有効であることを確認してください。 有効な場合は、新しいシークレットを作成し、古いシークレットを使用するサービスをすべて更新して、古いシークレットを削除します。

注: シークレットが GitHub.com のパブリック リポジトリで検出され、シークレットもパートナー パターンと一致する場合は、アラートが生成され、可能性のあるシークレットがサービス プロバイダーに報告されます。 パートナー パターンについて詳しくは、「パートナー アラートでサポートされるシークレット」をご覧ください。

secret scanning alerts の通知を構成する

新しいシークレットが検出されると GitHub によって、通知設定に従ってリポジトリのセキュリティ アラートにアクセスできるすべてのユーザーに通知されます。 あなたがリポジトリを監視している場合、セキュリティ アラートまたはリポジトリ上のすべてのアクティビティの通知を有効にしている場合、またはシークレットを含むコミットの作成者でリポジトリを無視していない場合は、メール通知を受け取ります。

詳細については、「リポジトリのセキュリティと分析の設定を管理する」と通知の構成に関するページを参照してください。