シークレット スキャンの委任アラート無視を有効にする

委任されたアラートの無視を使用して、 secret scanningによって検出されたアラートを無視できるユーザーを制御できます。

この機能を使用できるユーザーについて

Organization 所有者、セキュリティ マネージャー、リポジトリ管理者は、委任アラート無視を有効にすることができます。 有効にすると、organization 所有者とセキュリティ マネージャーはアラートを無視できるようになります。

この記事で

メモ

この承認プロセスを実装すると、ある程度の摩擦が発生する可能性があるため、続行する前に、セキュリティ マネージャーのチームが、解雇要求を定期的に確認するための十分なカバレッジを確保することが重要です。

リポジトリの委譲された却下を設定する

メモ

Organization 所有者が、適用されたセキュリティ構成を使って委任アラート無視を構成した場合、その設定をリポジトリ レベルで変更することはできません。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [Security] セクションで、[ Advanced Security] をクリックします。

  4. [Secret Protection] の [アラートの直接無視を禁止する] の右側にある [ 有効] をクリックします。

組織の委任された解除を設定する

カスタムセキュリティ構成を使って、組織の委任された解任を構成する必要があります。 その後、組織内のすべての (または選択した) リポジトリにセキュリティ構成を適用できます。

  1. 新しいカスタム セキュリティ構成を作成するか、既存のセキュリティ構成を編集します。 「カスタム セキュリティ構成を作成する」を参照してください。
  2. カスタム セキュリティ構成を定義する場合は、[Secret scanning] で、[アラートの直接無視を防止する] のドロップダウン メニューが [有効] に設定されていることを確認します。
  3. [Save configuration] をクリックします。
  4. 組織内のすべての (または選択した) リポジトリにセキュリティ構成を適用します。 「カスタム セキュリティ構成の適用」を参照してください。

セキュリティ構成の詳細については、「大規模なセキュリティ機能の有効化」を参照してください。

メモ

          GitHub Apps と詳細なアクセス許可を使用して、委任された却下要求をプログラムで確認および承認できます。 これにより、organization はセキュリティ要求のレビューを効率化し、ポリシーを適用するか、外部のセキュリティ ツールと統合することで、すべてのレビューで確立された標準を確実に満たすことができます。

_ GitHub Enterprise Server では、委任された却下のリクエストを確認するために GitHub Apps を使用でき、この機能はバージョン3.19から利用できます。_ アクセス許可の詳細については、「シークレット スキャンのバイパス要求に関する組織の許可」をご覧ください。

企業向けの委任された解任の設定

  1. 新しいカスタム セキュリティ構成を作成するか、既存のセキュリティ構成を編集します。 「Enterprise 用のカスタム セキュリティ構成の作成」を参照してください。
  2. カスタム セキュリティ構成を定義する場合は、[Secret Protection] で、[アラートの直接無視を防止する] のドロップダウン メニューが [有効] に設定されていることを確認します。
  3. [Save configuration] をクリックします。
  4. Enterprise 内のすべての (または選択した) リポジトリにセキュリティ構成を適用します。 「Enterprise に対するカスタム セキュリティ構成の適用」を参照してください。

次のステップ

secret scanningの委任されたアラートの無視を有効にしたら、アラートの無視要求を定期的に確認して、正確なアラート数を維持し、開発者のブロックを解除する必要があります。 「アラート却下リクエストの確認」を参照してください。