このバージョンの GitHub Enterprise サーバーはこの日付をもって終了となります: 2026-04-09. 重大なセキュリティの問題に対してであっても、パッチリリースは作成されません。 パフォーマンスの向上、セキュリティの向上、新機能の向上を図るために、最新バージョンの GitHub Enterprise サーバーにアップグレードしてください。 アップグレードに関するヘルプについては、GitHub Enterprise サポートにお問い合わせください

シークレット スキャン アラートについて

さまざまな種類の シークレット スキャンニング アラートについて説明します。

この機能を使用できるユーザーについて

リポジトリの所有者、組織の所有者、セキュリティ マネージャー、および 管理者 ロールを持つユーザー

Secret scanning は、次のリポジトリの種類で使用できます。

  •         **パブリック リポジトリ**: Secret scanning は無料で自動的に実行されます。

  •         **組織所有のプライベートリポジトリと内部リポジトリ**: [GitHub Team または GitHub Enterprise Cloud](/get-started/learning-about-github/about-github-advanced-security) で有効になっている GitHub Advanced Security で使用できます。

  •         **ユーザー所有のリポジトリ**: GitHub Enterprise Cloud および Enterprise Managed Users で利用可能です。 GitHub Enterprise Server で使用できるのは、エンタープライズで [GitHub Advanced Security](/get-started/learning-about-github/about-github-advanced-security) が有効になっている場合です。

この記事で

アラートの種類について

2 型の シークレット スキャンニング アラート があります。

  • シークレット スキャンニング アラート: リポジトリでサポートされているシークレットが検出されると、リポジトリの [セキュリティ] タブでユーザーに報告されます。
  • プッシュ保護アラート: 共同作成者がプッシュ保護をバイパスすると、リポジトリの [セキュリティ] タブでユーザーに報告されます。

ユーザーアラート シークレット スキャンニング アラート

          リポジトリのsecret scanningを有効にするか、secret scanningが有効になっているリポジトリにコミットをプッシュすると、サービス プロバイダーで定義されているパターン、および Enterprise、organization、またはリポジトリで定義されているカスタム パターンと一致するシークレットについて、GitHub によりその内容がスキャンされます。
          
          secret scanningでシークレットが検出されると、GitHub によってアラートが送信されます。
          GitHub のリポジトリの **[セキュリティ]** タブにアラートが表示されます。

アラートをより効果的にトリアージするために、 GitHub はアラートを 2 つのリストに分割します。

  •         **信頼度の高い**アラート。

  •         **その他**のアラート

secret scanningアラート ビューのスクリーンショット。 [高い信頼度]と[その他]のアラートの間に切り替えるボタンは、オレンジ色のアウトラインで強調表示されています。

信頼度の高いアラートのリスト

[高い信頼度]のアラート リストは、サポートされたパターンと指定されたカスタムパターンに関連した表示アラートを表示します。 このリストは、常にアラート ページのデフォルト ビューです。

その他のアラート リスト

[その他] アラートの一覧には、プロバイダー以外のパターン (秘密キーなど) を使用して検出された汎用シークレットが表示されます。 この種類のアラートは、誤検知率が高くなります。

さらに、このカテゴリに分類されるアラートは次のとおりです。

  • リポジトリあたりのアラート数は 5,000 件に制限されています (これには、オープン アラートとクローズしたアラートが含まれます)。
  • セキュリティ概要の概要ビューには表示されず、"Secret scanning" ビューにのみ表示されます。
  • 検出された最初の 5 つの場所のみがプロバイダー以外のパターンの GitHub に表示され。

プロバイダー以外のパターンおよび汎用シークレットをスキャンするためには、最初にリポジトリまたは組織において該当する機能を有効にする必要があります。 詳細については、 プロバイダー以外のパターンに対してシークレット スキャンを有効にする を参照してください。

リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。

プッシュ保護アラートについて

プッシュ保護は、サポートされているシークレットのプッシュをスキャンします。 プッシュ保護では、サポート対象のシークレットが検出されると、プッシュがブロックされます。 共同作成者がプッシュ保護をバイパスしてシークレットをリポジトリにプッシュすると、プッシュ保護アラートが生成され、リポジトリの [ Security ] タブに表示されます。 リポジトリのすべてのプッシュ保護アラートを表示するには、アラート ページで bypassed: true でフィルター処理する必要があります。 詳しくは、「シークレット スキャンからのアラートの表示とフィルター処理」をご覧ください。

リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。

メモ

          以前のバージョンの特定のトークンは、プッシュ保護によってサポートされない場合があります。これらのトークンでは、最新バージョンよりも多くの誤検知が生成される可能性があるためです。 プッシュ保護は、レガシ トークンにも適用されない場合があります。 Azure Storage キーなどのトークンの場合、GitHub では、レガシ パターンに一致するトークンではなく、''最近作成された'' トークンのみがサポートされます。__ プッシュ保護の制限の詳細については、 [AUTOTITLE](/code-security/how-tos/secure-your-secrets/troubleshooting-secret-scanning#push-protection-and-pattern-versions) を参照してください。

詳細については、次を参照してください。

  •         [AUTOTITLE](/code-security/reference/secret-security/supported-secret-scanning-patterns)

  •         [AUTOTITLE](/code-security/how-tos/secure-your-secrets/detect-secret-leaks/enabling-secret-scanning-for-non-provider-patterns)