secret scanningアラートページについて
リポジトリのsecret scanningを有効にするか、secret scanningが有効になっているリポジトリにコミットをプッシュすると、サービス プロバイダーで定義されているパターンと一致するシークレットについて、GitHub によりその内容がスキャンされます。
secret scanningでシークレットが検出されると、GitHub によってアラートが送信されます。GitHub のリポジトリの [セキュリティ] タブにアラートが表示されます。
アラートをより効果的にトリアージするため、GitHub はアラートを 2 つのリストに分けます。
- デフォルトのアラート
- 試験的なアラート
![secret scanning アラート ビューのスクリーンショット。 [Default] と [Experimental] アラートのサイドバー メニュー項目が、オレンジ色の枠線で強調表示されています。](/assets/cb-156173/mw-1440/images/help/security/secret-scanning-default-alert-view.webp)
デフォルトのアラート リスト
デフォルトのアラート リストは、サポートされたパターンと指定されたカスタムパターンに関連した表示アラートを表示します。 これはアラートのメイン ビューです。
試験的なアラート リスト
試験的なアラート リストは、プロバイダー以外のパターン (秘密キーなど)または AI を使用して検出された汎用シークレット(パスワードなど)に関連したアラートを表示します。 この種類のアラートは、誤検知率またはテストで使用するシークレットの割合が高くなります。 デフォルトのアラート リストから試験的なアラート リストに切り替えられます。
さらに、このカテゴリに分類されるアラートは次のとおりです。
- リポジトリあたりのアラート数は 5,000 件に制限されています (これには、オープン アラートとクローズしたアラートが含まれます)。
- セキュリティ概要の概要ビューには表示されず、"Secret scanning" ビューにのみ表示されます。
- プロバイダー以外のパターンにGitHubで最初の 5 つの検出場所のみが表示され、AI で検出された汎用シークレットに最初の検出場所のみが表示されている。
GitHubがプロバイダー以外のパターンと汎用シークレットをスキャンするには、最初にリポジトリまたは組織の機能を有効にする必要があります。 詳しくは、「プロバイダー以外のパターンのシークレットスキャンを有効にする」と「Copilot シークレット スキャンの一般的なシークレット検出の有効化」を参照してください。
GitHub は引き続き、新しいパターンとシークレットの種類を試験的なアラート リストにリリースし、機能が完了した際 (例えば、ボリュームが少なく、誤検知率が低い場合など) にデフォルトのリストに昇格します。
アラートの表示
secret scanning のアラートは、リポジトリの [セキュリティ] タブに表示されます。
- GitHub で、リポジトリのメイン ページに移動します。
- リポジトリ名の下にある [ セキュリティ] をクリックします。 [セキュリティ] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [セキュリティ] をクリックします。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。](/https/docs.github.com/assets/cb-17801/images/help/repository/security-tab.png)
- 左側のサイドバーの [Vulnerability alerts] (脆弱性アラート) で、 [Secret scanning] をクリックします。
- 必要に応じて、[Experimental] に切り替えてプロバイダー以外のパターンまたは AI を使用して検出された汎用シークレットのアラートを表示します。
- [Secret scanning]で、表示するアラートをクリックします。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-17801/mw-1440/images/help/repository/security-tab.webp)
アラートのフィルター処理
アラート リストにさまざまなフィルターを適用し、関心のあるアラートを見つけることができます。 アラート リストの上にあるドロップダウン メニューを使用したり、テーブルにリストされた修飾子を検索バーに入力したりすることができます。
| 修飾子 | 説明 |
|---|---|
is:open | 開いたアラートを表示します。 |
is:closed | 終了したアラートを表示します。 |
is:publicly-leaked | パブリック リポジトリで見つかったシークレットに関するアラートを表示します。 |
is:multi-repository | 同じ organization または Enterprise 内の複数のリポジトリで見つかったシークレットに関するアラートを表示します。 |
bypassed: true | プッシュ保護がバイパスされたシークレットのアラートを表示します。 詳しくは、「プッシュ保護について」をご覧ください。 |
validity:active | アクティブであることがわかっているシークレットのアラートを表示します。 有効性チェックを有効にしない限り、GitHub トークンにのみ適用されます。有効性の状態について詳しくは、「シークレット スキャンからのアラートの評価」を参照してください。 |
validity:inactive | アクティブではなくなったシークレットのアラートを表示します。 |
validity:unknown | シークレットの有効性の状態が不明な場合、シークレットのアラートを表示します。 |
secret-type:SECRET-NAME | たとえば、secret-type:github_personal_access_token のような特定のシークレット タイプのアラートを表示します。 サポートされているシークレットの種類の一覧については、「サポートされているシークレット スキャン パターン」を参照してください。 |
provider:PROVIDER-NAME | たとえば、provider:github のような特定のプロバイダーのアラートを表示します。 サポートされているパートナーの一覧については、「サポートされているシークレット スキャン パターン」を参照してください。 |
results:default | サポートされているシークレットとカスタム パターンのアラートを表示します。 サポートされているパターンの一覧については、「サポートされているシークレット スキャン パターン」を参照してください。 |
results:experimental | プロバイダー以外のパターン(秘密キーなど)のアラートと、AI で検出された汎用シークレット(パスワードなど)のアラートを表示します。 サポートされているプロバイダー以外のパターンの一覧については、「サポートされているシークレット スキャン パターン」を参照してください。 AI で検出された汎用シークレットの詳細については、「Copilotシークレットスキャンを使用したジェネリックシークレットの責任ある検出」を参照してください。 |