プッシュ保護のバイパス要求について

プッシュ保護によってシークレットを含むコミットがブロックされた場合のバイパス要求のしくみについて説明します。

この機能を使用できるユーザーについて

  • 組織所有者
  • セキュリティマネージャー
  • チーム内のユーザー、既定のロール、またはバイパス リストに追加されたカスタム ロール。
  • 「secret scanning バイパス リクエストのレビューと管理」の詳細なアクセス許可が設定されたカスタム ロールが割り当てられているユーザー。

この記事で

プッシュ保護のバイパス要求について

プッシュ保護がシークレットを含むコミットをブロックする場合、共同作成者はブロックをバイパスしてプッシュを完了する必要がある場合があります。 プッシュ保護の委任されたバイパスが有効になっている場合、バイパス特権のない共同作成者はバイパス要求を送信し、指定されたレビュー担当者からの承認を待つ必要があります。 これにより、組織は必要に応じ正当な例外を有効にしながら、セキュリティ監視を維持できます。 詳しくは、「プッシュ保護のために委任されたバイパスについて」をご覧ください。

プッシュ保護の委任されたバイパスが有効になっていない場合、共同作成者は独自の判断でプッシュ保護をバイパスできます。

プッシュ保護の委任されたバイパスを有効にすると、Organization のオーナーまたはリポジトリ管理者は、どの 個人、ロールまたはチームは、プッシュ保護をバイパスする要求を確認 (承認または拒否) できます。

指定された校閲者である場合は、バイパス要求を確認し、要求の詳細と組織のセキュリティ ポリシーに基づいて承認または拒否する必要があります。

バイパス要求のしくみ

バイパス特権のない共同作成者がシークレットを含むコミットをプッシュするように要求すると、レビュー担当者にバイパス要求が送信されます。 指定された校閲者のグループ:

  • 要求へのリンクを含む電子メール通知を受信します
  • リポジトリの [リクエストのバイパス] ページ、または組織のセキュリティ概要でリクエストを確認します。
  • 要求の有効期限が切れる前に、要求を承認または拒否する 期間が 7 日 です

校閲者が利用できる情報

GitHub には、要求ごとに次の情報が表示されます。

  • プッシュを試行したユーザーの名前
  • プッシュが試行されたリポジトリ
  • プッシュのコミット ハッシュ
  • push のタイムスタンプ
  • ファイル パスとブランチ情報 (ブランチ情報は単一のブランチへのプッシュでのみ使用できます)

結果

共同作成者は、決定の電子メールで通知され、必要なアクションを実行する必要があります。

  •         **要求が承認された場合**: 共同作成者は、シークレットを含むコミットをリポジトリにプッシュできます。

  •         **要求が拒否された場合**: 共同作成者は、コミットをリポジトリに正常にプッシュする前に、コミットからシークレットを削除する必要があります。

自動バイパス要求レビュー

GitHub Apps を詳細なアクセス許可と共に使用して、プッシュ保護バイパス要求をプログラムで確認および承認できます。 これにより、一貫したセキュリティ ポリシーを適用したり、外部セキュリティ ツールと統合したり、手動レビューの負担を軽減したりできます。

アクセス許可の詳細については、「シークレット スキャンのための organization のバイパス要求" のための organization のアクセス許可」を参照してください。

次のステップ