アラートの種類について
2 型の シークレット スキャンニング アラート があります。
- シークレット スキャンニング アラート: リポジトリでサポートされているシークレットが検出されると、リポジトリの [セキュリティ] タブでユーザーに報告されます。
- プッシュ保護アラート: 共同作成者がプッシュ保護をバイパスすると、リポジトリの [セキュリティ] タブでユーザーに報告されます。
シークレット スキャンニング アラート について
secret scanning が有効になっているリポジトリで、GitHub がサポートされているシークレットを検出すると、secret scanning アラートが生成され、リポジトリの [セキュリティ] タブに表示されます。
secret scanning アラートには、次の種類を指定できます。
- サポートされているパターンと指定されたカスタム パターンに関連する信頼度の高いアラート。
- その他のアラートは、誤検知の比率が高く、秘密キー などのシークレットに対応します。
GitHub では、これらの "その他" アラートが、信頼度の高いアラートとは別の一覧に表示され、トリアージがユーザーにとってより優れたエクスペリエンスになります。 詳しくは、「シークレット スキャンからのアラートの表示とフィルター処理」を参照してください。
注: プロバイダー以外のパターンの検出は現在ベータ版であり、変更される可能性があります。
リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。
プッシュ保護アラートについて
プッシュ保護は、サポートされているシークレットのプッシュをスキャンします。 プッシュ保護は、サポートされているシークレットを検出すると、プッシュをブロックします。 共同作成者がプッシュ保護をバイパスしてシークレットをリポジトリにプッシュすると、プッシュ保護アラートが生成され、リポジトリの [セキュリティ] タブに表示されます。 リポジトリのすべてのプッシュ保護アラートを表示するには、アラート ページで bypassed: true によってフィルター処理する必要があります。 詳しくは、「シークレット スキャンからのアラートの表示とフィルター処理」を参照してください。
リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。
Note
以前のバージョンの特定のトークンは、プッシュ保護によってサポートされない場合があります。これらのトークンでは、最新バージョンよりも多くの誤検知が生成される可能性があるためです。 プッシュ保護は、レガシ トークンにも適用されない場合があります。 Azure Storage キーなどのトークンの場合、GitHub では、レガシ パターンに一致するトークンではなく、''最近作成された'' トークンのみがサポートされます。__プッシュ保護の制限事項について詳しくは、「シークレット スキャンのトラブルシューティング」を参照してください。