シークレット スキャン アラートについて

さまざまな種類の シークレット スキャンニング アラートについて説明します。

この機能を使用できるユーザーについて

リポジトリの所有者、組織の所有者、セキュリティ マネージャー、および 管理者 ロールを持つユーザー

Secret scanning は、次のリポジトリの種類で使用できます。

  •         **パブリック リポジトリ**: Secret scanning は無料で自動的に実行されます。

  •         **組織所有のプライベートリポジトリと内部リポジトリ**: [GitHub Team または GitHub Enterprise Cloud](/get-started/learning-about-github/about-github-advanced-security) で有効になっている GitHub Secret Protection で使用できます。

  •         **ユーザー所有のリポジトリ**: GitHub Enterprise Cloud および Enterprise Managed Users で利用可能です。 GitHub Enterprise Server で使用できるのは、エンタープライズで [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) が有効になっている場合です。

この記事で

アラートの種類について

には、シークレット スキャンニング アラート二つの種類があります。

  •         **
        ユーザー アラート:** リポジトリでサポートされているシークレットが検出されると、リポジトリの [ **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** ] タブでユーザーに報告されます。

  •         **プッシュ保護アラート:** 共同作成者がプッシュ保護をバイパスすると、リポジトリの [ **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** ] タブでユーザーに報告されます。 

  •         **パートナーアラート:**secret scanningのパートナー プログラムの一部であるシークレット プロバイダーに直接報告されます。 これらのアラートは、リポジトリの [ **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** ] タブには報告されません。

ユーザーアラート について

          リポジトリのsecret scanningを有効にするか、secret scanningが有効になっているリポジトリにコミットをプッシュすると、サービス プロバイダーで定義されているパターン、および Enterprise、organization、またはリポジトリで定義されているカスタム パターンと一致するシークレットについて、GitHub によりその内容がスキャンされます。
          
          secret scanningでシークレットが検出されると、GitHub によってアラートが送信されます。
          GitHub は、リポジトリの [ **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** ] タブにアラートを表示します。

アラートをより効果的にトリアージするために、 GitHub はアラートを 2 つのリストに分割します。

  •         **既定** のアラート

  •         **一般的な** アラート

デフォルトのアラート リスト

デフォルトのアラート リストは、サポートされたパターンと指定されたカスタムパターンに関連した表示アラートを表示します。 これはアラートのメイン ビューです。

          汎用 アラートの一覧

          generic アラートの一覧には、プロバイダー以外のパターン (秘密鍵など) に関連するアラート、あるいは AI を用いて検出された汎用的な秘密情報 (パスワードなど) が表示されます。 この種類のアラートは、誤検知率またはテストで使用するシークレットの割合が高くなります。 既定のアラート の一覧から generic アラートの一覧に切り替えることができます。

          GitHub は新しいパターンとシークレットの種類を引き続き generic アラート リストにリリースし、機能が完成したら(つまり、低ボリュームで誤検知率が低いときに)既定のリストに昇格されます。

さらに、このカテゴリに分類されるアラートは次のとおりです。

  • リポジトリあたりのアラート数は 5,000 件に制限されています (これには、オープン アラートとクローズしたアラートが含まれます)。
  • セキュリティ概要の概要ビューには表示されず、"Secret scanning" ビューにのみ表示されます。
  • 検出された最初の 5 つの場所のみがプロバイダー以外のパターンの GitHub に表示され、AI で検出された汎用シークレットに対して最初に検出された場所のみが表示されます。

プロバイダー以外のパターンおよび汎用シークレットをスキャンするためには、最初にリポジトリまたは組織において該当する機能を有効にする必要があります。 詳細については、 プロバイダー以外のパターンに対してシークレット スキャンを有効にする および Copilot のシークレットスキャンにおける一般的なシークレット検出の有効化 を参照してください。

リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。

プッシュ保護アラートについて

プッシュ保護は、サポートされているシークレットのプッシュをスキャンします。 プッシュ保護では、サポート対象のシークレットが検出されると、プッシュがブロックされます。 共同作成者がプッシュ保護をバイパスしてシークレットをリポジトリにプッシュすると、プッシュ保護アラートが生成され、リポジトリの [ Security and quality ] タブに表示されます。 リポジトリのすべてのプッシュ保護アラートを表示するには、アラート ページで bypassed: true でフィルター処理する必要があります。 詳しくは、「シークレット スキャンからのアラートの表示とフィルター処理」をご覧ください。

リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。

メモ

          また、"ユーザーのプッシュ保護" と呼ばれる個人アカウントのプッシュ保護を有効にすることもできます。これにより、サポートされているシークレットが誤 _ってパブリック リポジトリ_ にプッシュされるのを防ぐことができます。 ユーザー ベースのプッシュ保護のみをバイパスすることを選択した場合、アラートは_作成されません_。 アラートは、リポジトリ自体でプッシュ保護が有効になっている場合にのみ作成されます。 詳細については、 [AUTOTITLE を](/code-security/secret-scanning/working-with-secret-scanning-and-push-protection/push-protection-for-users)参照してください。

          以前のバージョンの特定のトークンは、プッシュ保護によってサポートされない場合があります。これらのトークンでは、最新バージョンよりも多くの誤検知が生成される可能性があるためです。 プッシュ保護は、レガシ トークンにも適用されない場合があります。 Azure Storage キーなどのトークンの場合、GitHub では、レガシ パターンに一致するトークンではなく、''最近作成された'' トークンのみがサポートされます。__ プッシュ保護の制限の詳細については、 [AUTOTITLE](/code-security/how-tos/secure-your-secrets/troubleshooting-secret-scanning#push-protection-and-pattern-versions) を参照してください。

パートナー アラートについて

          GitHubがパブリック リポジトリまたは npm パッケージ内の漏洩したシークレットを検出すると、シークレット プロバイダーがGitHubのシークレット スキャン パートナー プログラムの一部である場合、アラートがシークレット プロバイダーに直接送信されます。 
          パートナーに対するシークレット スキャンニング アラートの詳細については、「[AUTOTITLE](/code-security/secret-scanning/secret-scanning-partnership-program/secret-scanning-partner-program)」および[「AUTOTITLE](/code-security/reference/secret-security/supported-secret-scanning-patterns)」を参照してください。

パートナーのアラートはリポジトリ管理者に送信されないため、この種類のアラートに対して何らかのアクションを実行する必要はありません。

詳細については、次を参照してください。

  •         [AUTOTITLE](/code-security/reference/secret-security/supported-secret-scanning-patterns)

  •         [AUTOTITLE](/code-security/how-tos/secure-your-secrets/detect-secret-leaks/enabling-secret-scanning-for-non-provider-patterns)