Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.
All products
コードセキュリティ

シークレット スキャンからのアラートの管理

In this article

リポジトリにチェックインしたシークレットのアラートを表示したりクローズしたりすることができます。

Who can use this feature

People with admin access to a public repository can view and dismiss secret scanning alerts for the repository.

パートナーに対するシークレット スキャン アラート は、GitHub.com 上のすべての製品のパブリック リポジトリで自動的に実行されます。 ユーザーに対するシークレット スキャン アラート は、パブリック リポジトリで利用できるほか、GitHub Enterprise Cloud を使用し、GitHub Advanced Security のライセンスを持つ Organization が所有するリポジトリで利用できます。 詳細については、「ユーザーに対するシークレット スキャン アラート について」と「GitHub Advanced Security について」を参照してください。

シークレット スキャン アラート を管理する

注: アラートは、ユーザーに対するシークレット スキャン アラート が有効になっているリポジトリに対してのみ作成されます。 無料の パートナーに対するシークレット スキャン アラート サービスを使っているパブリック リポジトリで見つかったシークレットはパートナーに直接報告され、アラートは作成されません。 詳しくは、「secret scanning パターン」を参照してください。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブ

  2. 左側のサイドバーの [Vulnerability alerts] (脆弱性アラート) で、 [Secret scanning] をクリックします。

  3. [Secret scanning] で、表示するアラートをクリックします。

  4. 必要に応じて、漏えいしたシークレットが GitHub トークンの場合は、シークレットの有効性を確認し、修復手順を実行します。

    GitHub トークンの UI のスクリーンショット。有効性チェックと推奨される修復手順が表示されています。

    注: GitHub トークンの有効性チェックは現在パブリック ベータ版であり、変更される可能性があります。

    GitHub からは、GitHub トークンについてのみ、シークレットの有効性に関する情報が提供されます。

    有効期限までの日数結果
    アクティブなシークレットGitHub は、このシークレットがアクティブであることを確認しました
    アクティブなシークレットGitHub はこのシークレットのプロバイダーでチェックし、シークレットがアクティブであることを確認しました
    アクティブである可能性があるシークレットGitHub は、このトークンの種類の有効性チェックをまだサポートしていません
    アクティブである可能性があるシークレットGitHub はこのシークレットを検証できませんでした
    非アクティブとみられるシークレット未承認のアクセスが既に行われていないことを確認する必要があります

  5. アラートを無視するには、[次の状態として閉じる] ドロップダウン メニューを選び、アラートを解決する理由をクリックします。

    パートナー ドキュメントへのリンクを示す secret scanning からのアラートを無視するドロップダウン メニューのスクリーンショット

  6. 必要に応じて、[コメント] フィールドに無視のコメントを追加します。 無視のコメントはアラート タイムラインに追加され、監査と報告の間に正当な理由として使用できます。 アラート タイムラインで、すべての無視されたアラートと無視コメントの履歴を確認できます。 また、Secret scanning API を使って、コメントを取得または設定することもできます。 コメントは resolution_comment フィールドに含まれています。 詳しくは、REST API ドキュメントの「Secret scanning」をご覧ください。

  7. [アラートを閉じる] をクリックします。

侵害されたシークレットを保護する

シークレットがリポジトリにコミットされたら、シークレットが侵害されたと考える必要があります。 GitHub は、侵害されたシークレットに対して次のアクションを行うことをおすすめします。

  • 侵害された GitHub personal access token については、侵害されたトークンを削除し、新しいトークンを作成し、古いトークンを使っていたサービスを更新してください。 詳しくは、「Managing alerts from secret scanning」を参照してください。

  • それ以外のすべてのシークレットについては、最初に GitHub にコミットされたシークレットが有効であることを確認してください。 有効な場合は、新しいシークレットを作成し、古いシークレットを使用するサービスをすべて更新して、古いシークレットを削除します。

注: シークレットが GitHub.com のパブリック リポジトリで検出され、シークレットもパートナー パターンと一致する場合は、アラートが生成され、可能性のあるシークレットがサービス プロバイダーに報告されます。 パートナー パターンの詳細については、「secret scanning パターン」を参照してください。

シークレット スキャン アラート の通知を構成する

新しいシークレットが検出されると GitHub によって、通知設定に従ってリポジトリのセキュリティ アラートにアクセスできるすべてのユーザーに通知されます。 あなたがリポジトリを監視している場合、セキュリティ アラートまたはリポジトリ上のすべてのアクティビティの通知を有効にしている場合、またはシークレットを含むコミットの作成者でリポジトリを無視していない場合は、メール通知を受け取ります。

詳細については、「Managing alerts from secret scanning」および「Configuring notifications」を参照してください。