シークレット スキャンからのアラートの管理

この記事の内容

リポジトリにチェックインしたシークレットのアラートを表示したりクローズしたりすることができます。

この機能を使用できるユーザー

People with admin access to a repository can view and dismiss secret scanning alerts for the repository.

パートナーに対するシークレット スキャンニング アラート はパブリック リポジトリとパブリック npm パッケージで自動的に実行され、GitHub.com で漏洩したシークレットについてサービス プロバイダーに通知します。

ユーザーに対するシークレット スキャンニング アラート は、すべてのパブリック リポジトリで無料で利用できます。 GitHub Enterprise Cloud を使い、GitHub Advanced Security のライセンスを持っている組織は、プライベート リポジトリと内部リポジトリに対して ユーザーに対するシークレット スキャンニング アラート を有効にすることもできます。 詳細については、「シークレット スキャンについて」と「GitHub Advanced Security について」を参照してください。

GitHub Advanced Security の無料試用については、「GitHub Advanced Security の無料試用版を設定する」を参照してください。

信頼度の高いパターンからのアラートの管理

注: アラートは、ユーザーに対するシークレット スキャンニング アラート が有効になっているリポジトリに対してのみ作成されます。 無料の パートナーに対するシークレット スキャンニング アラート サービスを使っているパブリック リポジトリおよびパブリック npm パッケージで見つかったシークレットはパートナーに直接報告され、アラートは作成されません。 詳しくは、「secret scanning パターン」を参照してください。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。

  2. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。 タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。

  3. 左側のサイドバーの [Vulnerability alerts] (脆弱性アラート) で、 [Secret scanning] をクリックします。

  4. 必要に応じて、アラートの有効性の状態でフィルター処理するには、[Secret scanning] の下の [Validity] ドロップダウン メニューで状態を選択し、適用するフィルターをクリックします。 または、検索フィールドで validity キーを使用してフィルター処理します。 validity:active,unknown のように、複数の有効状態をコンマ区切りした文字列で指定することで、アラートをフィルター処理できます。 有効性状態の詳細については、以下の「パートナー パターンの検証」を参照してください。

    注: パートナー パターンの有効性チェックは現在ベータ版であり、変更される可能性があります。

    To be able to filter by validity status, you need to have enabled validity checks for partner patterns in a repository, or have organization owners and enterprise administrators enable the feature for all repositories in the organization or enterprise settings. For more information, see "リポジトリのセキュリティと分析設定を管理する," "組織のセキュリティおよび分析設定を管理する," and "Enterprise 用の GitHub Advanced Security 機能の管理."

  5. [Secret scanning] で、表示するアラートをクリックします。

    注: 高信頼度のビューは、secret scanning アラートの一覧の既定のビューです。 リポジトリまたは組織でプロバイダー以外のパターンの検出が有効になっている場合は、別のビューを使用してプロバイダー以外のアラートを表示できるようにする必要があります。 詳細については、以下の「プロバイダー以外のパターンからのアラートの管理」に関する記事を参照してください。

  6. 必要に応じて、トークンの有効性チェックを実行するには、アラートの右上にある [シークレットの検証] をクリックします。 詳細については、「パートナー パターンの検証」を参照してください。

    注: リポジトリに対して自動有効性チェックが有効になっている場合にのみ、リポジトリで検出されたパターンに対してオンデマンドの有効性チェックを実行できます。 詳細については、「リポジトリ内のパートナー パターンの有効性チェックを許可する」を参照してください。

  7. 必要に応じて、漏洩したシークレットが GitHub トークンである場合は、トークン メタデータを確認することもできます。 トークン メタデータの確認の詳細については、「GitHub トークン メタデータの確認を参照してください。」

  8. アラートを無視するには、[次の状態として閉じる] ドロップダウン メニューを選び、アラートを解決する理由をクリックします。

    secret scanning アラートのスクリーンショット。 [閉じる] というタイトルのドロップダウン メニューが展開され、濃いオレンジ色の枠線で強調表示されています。

  9. 必要に応じて、[コメント] フィールドに無視のコメントを追加します。 無視のコメントはアラート タイムラインに追加され、監査と報告の間に正当な理由として使用できます。 アラート タイムラインで、すべての無視されたアラートと無視コメントの履歴を確認できます。 また、Secret scanning API を使って、コメントを取得または設定することもできます。 コメントは resolution_comment フィールドに含まれています。 詳しくは、REST API ドキュメントの「シークレット スキャン」をご覧ください。

  10. [アラートをクローズする] をクリックします。

プロバイダー以外のパターンからのアラートの管理

Note: The detection of non-provider patterns is currently in beta and subject to change.

プロバイダー以外のパターンは秘密キーなどのパターンであり、信頼度の高いパターンも誤検知率が高くなります。

組織の所有者またはリポジトリ管理者は、組織またはリポジトリ内のプロバイダ以外のパターン検出を有効にして、secret scanning に対してプロバイダ以外のパターンをスキャンする必要があります。 詳しくは、「リポジトリのシークレット スキャンの構成」を参照してください。

プロバイダー以外のアラートは、信頼度の高いアラートとは異なります。 プロバイダー以外のアラート:

  • セキュリティの概要には表示されません。
  • 信頼度の高いアラートとは異なるビューに一覧表示されます。 そのビューは "Other" と呼ばれます。
  • 検出された最初の 5 つの場所のみが GitHub に表示されます。
  • リポジトリあたりのアラート数は 5,000 件に制限されています (これには、オープン アラートとクローズしたアラートが含まれます)。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。

  2. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。 タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。

  3. 左側のサイドバーの [Vulnerability alerts] (脆弱性アラート) で、 [Secret scanning] をクリックします。

  4. secret scanning アラートの一覧の右上隅にある [その他] をクリックします。

    secret scanning アラートのリストのスクリーンショット。 [その他] というタイトルのボタンが濃いオレンジ色の枠線で強調表示されています。

  5. 表示したいアラートをクリックします。

  6. アラートを無視するには、[次の状態として閉じる] ドロップダウン メニューを選び、アラートを解決する理由をクリックします。

  7. 必要に応じて、[コメント] フィールドに無視のコメントを追加します。 無視のコメントはアラート タイムラインに追加され、監査と報告の間に正当な理由として使用できます。 アラート タイムラインで、すべての無視されたアラートと無視コメントの履歴を確認できます。

  8. [アラートをクローズする] をクリックします。

パートナー パターンの検証

注: パートナー パターンの有効性チェックは現在ベータ版であり、変更される可能性があります。

パートナー パターンの有効性チェックは、GitHub.com のすべての種類のリポジトリで使用できます。 この機能を使用するには、GitHub Advanced Security のライセンスが必要です。

関連するパートナーに送信することで、secret scanning にリポジトリ内で見つかったシークレットの有効性の確認を許可できます。

リポジトリ、組織、またはエンタープライズのコード セキュリティの設定で、サポートされているパートナー パターンの自動有効性チェックを有効にすることができます。 GitHub は定期的に関連パートナーにパターンを送信し、シークレットの有効性を確認し、シークレットの検証状態をアラート ビューに表示します。

リポジトリ、組織、またはエンタープライズでパートナー パターンの自動検証チェックを有効にする方法の詳細については、「リポジトリ内のパートナー パターンの有効性チェックの許可」、「組織内のパートナー パターンの有効性チェックの許可」、「高度なセキュリティ機能の管理」を参照してください。

リポジトリで有効性チェックが有効になっている場合は、アラート ビューで [シークレットの検証] をクリックして、オンデマンドのシークレット有効性チェックを実行することもできます。 GitHub は、関連するパートナーにパターンを送信し、アラート ビューにシークレットの検証状態を表示します。

サポートされているパートナー パターンのアラートを検証状態でフィルター処理したり、漏洩したシークレットの検証状態を使用して、修復手順を必要とするシークレットに優先順位を付けることができます。

有効期限までの日数結果
アクティブなシークレットGitHub は、このシークレットがアクティブであることを確認しました
アクティブなシークレットGitHub はこのシークレットのプロバイダーでチェックし、シークレットがアクティブであることを確認しました
アクティブである可能性があるシークレットGitHub は、このトークンの種類の有効性チェックをまだサポートしていません
アクティブである可能性があるシークレットGitHub はこのシークレットを検証できませんでした
非アクティブとみられるシークレット未承認のアクセスが既に行われていないことを確認する必要があります

有効性チェックをサポートするパートナーの詳細については、「サポートされているシークレット」を参照してください。

GitHub トークン メタデータの確認

注: GitHub 現在、トークンのメタデータはパブリック ベータ版であり、変更される可能性があります。

アクティブな GitHub トークン アラートのビューでは、そのトークンに関する特定のメタデータを確認できます。 このメタデータは、トークンを識別したり実行すべき修復手順を判断するのに役立ちます。 個別のアラートの表示について詳しくは、「secret scanning アラートの管理」をご覧ください。

personal access token などのトークンやその他の資格情報は、個人情報と見なされます。 GitHub トークンの使用について詳しくは、「GitHub のプライバシーに関する声明」と「GitHub 利用規約」をご覧ください。

GitHub トークンの UI のスクリーンショット。トークン メタデータが表示されています。

GitHub トークンのメタデータは、シークレット スキャンが有効になっているリポジトリ内にあるアクティブなトークンに使うことができます。 トークンが取り消された場合や状態を検証できない場合は、メタデータを使うことができません。 GitHub によってパブリック リポジトリ内にある GitHub トークンが自動的に取り消されるため、パブリック リポジトリ内にある GitHub トークンのメタデータを使うことができる可能性はあまりありません。 次のメタデータは、アクティブな GitHub トークンに使うことができます。

メタデータ説明
シークレット名作成者が GitHub に付けた名前
シークレットの所有者トークンの所有者の GitHub ハンドル
[作成日]トークンが作成された日付
有効期限切れトークンの有効期限が切れた日付
最終使用日トークンが最後に使用された日付
Accessトークンに Organization のアクセス権があるかどうか

AI を使用して検出された汎用シークレットのアラートの表示

Note: Generic secret detection for secret scanning is in beta. Functionality and documentation are subject to change. If you have an enterprise account and use GitHub Advanced Security, you can join the waitlist for GitHub Advanced Security AI features.

During this phase, generic secret detection is limited to looking for passwords in source code.

リポジトリに対して AI を利用した汎用シークレット検出を有効にすると、secret scanning がソース コード内の非構造化シークレット (パスワードなど) をスキャンし、アラートを生成します。

潜在的なパスワードが特定されると、secret scanning アラート ページ (リポジトリの [セキュリティ ] タブの下) の別のリストにアラートが表示されます。 個別のビューを使用すると、結果の妥当性を簡単にトリアージして検証できます。

汎用シークレットのアラートの個別のリストを表示するには、アラート ページで [その他] に切り替える必要があります。 各アラートは、AI を使用して検出されたことを示しています。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。

  2. リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。 タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。

  3. 左側のサイドバーの [Vulnerability alerts] (脆弱性アラート) で、 [Secret scanning] をクリックします。

  4. secret scanning アラートのリストの右上隅にある [その他] に切り替えます。

    リポジトリの secret scanning アラート インデックス ビューのスクリーンショット。 [その他] というタイトルのトグルが濃いオレンジ色の枠線で強調表示されています。

機能とその制限について詳しくは、「シークレットスキャンを使用した、ジェネリックシークレットの検出について」を参照してください。 リポジトリでこの機能を有効にする方法については、「AI を利用した汎用シークレット検出の有効化」をご覧ください。

侵害されたシークレットを保護する

シークレットがリポジトリにコミットされたら、シークレットが侵害されたと考える必要があります。 GitHub は、侵害されたシークレットに対して次のアクションを行うことをおすすめします。

  • 侵害された GitHub personal access token については、侵害されたトークンを削除し、新しいトークンを作成し、古いトークンを使っていたサービスを更新してください。 詳しくは、「個人用アクセス トークンを管理する」を参照してください。
  • それ以外のすべてのシークレットについては、最初に GitHub Enterprise Cloud にコミットされたシークレットが有効であることを確認してください。 有効な場合は、新しいシークレットを作成し、古いシークレットを使用するサービスをすべて更新して、古いシークレットを削除します。

注: シークレットが GitHub.com のパブリック リポジトリで検出され、シークレットもパートナー パターンと一致する場合は、アラートが生成され、可能性のあるシークレットがサービス プロバイダーに報告されます。 パートナー パターンの詳細については、「secret scanning パターン」を参照してください。

シークレット スキャンニング アラート

の通知を構成する

増分スキャンと履歴スキャンでは通知が異なります。

増分スキャン

新しいシークレットが検出されると GitHub Enterprise Cloud によって、通知設定に従ってリポジトリのセキュリティ アラートにアクセスできるすべてのユーザーに通知されます。 これらのユーザーは次のとおりです。

  • リポジトリ管理者
  • セキュリティマネージャー
  • 読み書きアクセス権が与えられるカスタム ロールを持つユーザー
  • Organization 所有者とエンタープライズ所有者。シークレットが漏洩したリポジトリの管理者である場合

注: コミット作成者がシークレットを間違ってコミットした場合、通知設定に関係なくその者に通知されます。

次の場合に、電子メール通知を受け取ります。

  • リポジトリをウォッチしている。
  • リポジトリ で [すべてのアクティビティ]、またはカスタムの [セキュリティ アラート] の通知を有効にしている。
  • 通知設定にある [サブスクリプション] の [ウォッチ] で、電子メールによる通知を受け取ることを選んだ。

  1. GitHub.com で、リポジトリのメイン ページへ移動します。

  2. リポジトリのウォッチを開始するには、 [ ウォッチ] を選んでください。

    リポジトリのメイン ページのスクリーンショット。 [ウォッチ] というタイトルが付いたドロップダウン メニューがオレンジ色の枠線で強調表示されています。

  3. ドロップダウン メニューで、 [すべてのアクティビティ] を選びます。 または、セキュリティ アラートのみをサブスクライバーにする場合は、 [カスタム] を選び、 [セキュリティ アラート] を選びます。

  4. 個人用アカウントの通知設定に移動します。 https://github.com/settings/notifications で利用できます。

  5. 通知設定のページの、[サブスクリプション] にある [視聴] で、 [通知する] ドロップダウンを選びます。

  6. 通知方法として [Email] を選び、 [保存] を選びます。

    ユーザー アカウントの通知設定のスクリーンショット。 "サブスクリプション" というタイトルの要素ヘッダーと、"ウォッチ中" というタイトルのサブヘッダーが表示されています。 [Email] というチェックボックスがオレンジ色の枠線で強調されています。

通知設定について詳しくは、「リポジトリのセキュリティと分析設定を管理する」と「個々のリポジトリのウォッチ設定の構成」を参照してください。

履歴スキャン

履歴スキャンの場合、GitHub Enterprise Cloud では次のユーザーに通知します。

  • 組織所有者、エンタープライズ所有者、セキュリティ マネージャー - 履歴スキャンの完了時に必ず。シークレットが見つからないとしても。
  • リポジトリ管理者、セキュリティ マネージャー、読み書きアクセス権が与えられるカスタム ロールを持つユーザー - 履歴スキャンでシークレットが見つかったときは必ず。通知設定に基づいて。

コミット作成者には通知 "しません"。

通知設定について詳しくは、「リポジトリのセキュリティと分析設定を管理する」と「個々のリポジトリのウォッチ設定の構成」を参照してください。

シークレット スキャン アラートへの応答の監査

GitHub ツールを使用して、secret scanning アラートに応答して実行されたアクションを監査できます。 詳しくは、「セキュリティ アラートの監査」を参照してください。