シークレット スキャンの委任アラート無視を有効にする

委任アラート無視を使うと、secret scanning によって検出されたアラートを無視できるユーザーを制御できます。

この機能を使用できるユーザーについて

Organization 所有者、セキュリティ マネージャー、リポジトリ管理者は、委任アラート無視を有効にすることができます。 有効にすると、organization 所有者とセキュリティ マネージャーはアラートを無視できるようになります。

この記事の内容

委任アラート無視を有効にする方法について

委任アラート無視を使うと、アラートを直接無視できるユーザーを制限できます。 この機能が有効になっているときに、ユーザーがアラートを無視しようとすると、代わりに無視要求が作成されます。

この機能を有効にすると、organization 所有者とセキュリティ マネージャーには、アラートの無視要求を承認または拒否するアクセス許可が自動的に割り当てられます。 このアクセス許可は次のとおりです。

  • code scanning の [Review and manage code scanning alert dismissal requests] アクセス許可。

  • secret scanning の "secret scanning アラートの無視要求を確認して管理する" アクセス許可。 このアクセス許可は、カスタム ロールにも適用できます。

これらのアクセス許可の詳細については、「Organizationのロール」を参照してください。

セキュリティ マネージャー ロールの詳細については、「Organizationでのセキュリティマネージャーの管理」を参照してください。

メモ

この承認プロセスの実装は潜在的に衝突を引き起こす可能性があるため、続行する前にセキュリティ マネージャーのチームが適切な対応を確実に行うことが重要です。

レビュー担当者 (セキュリティ マネージャーと organization 所有者):

  • 要求のメール通知を受け取ります。 これらのユーザーは、バックログが発生せず、プロセスがスムーズに進むように、これらの一覧をレビューできることを定期的に確認する必要があります。
  • Organization の [Security] タブの専用ビューで要求を処理できます。 アラートは、無視要求が承認された場合にのみ無視されます。それ以外の場合、アラートは未処理のままになります。

要求者には、アラートを無視できるかどうかの判断が記載されたメール通知が送信されます。

リポジトリの委任された無視を構成する

メモ

Organization 所有者が、適用されたセキュリティ構成を使って委任アラート無視を構成した場合、その設定をリポジトリ レベルで変更することはできません。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [Security] セクションで、[ Advanced Security] をクリックします。

  4. [Secret Protection] で、[Prevent direct alert dismissals] の右側にある [Enable] をクリックします。

Organization の委任された無視を構成する

カスタム セキュリティ構成を使って、organization の委任された無視を構成する必要があります。 その後、組織内のすべての (または選択した) リポジトリにセキュリティ構成を適用できます。

  1. 新しいカスタム セキュリティ構成を作成するか、既存のセキュリティ構成を編集します。 「カスタム セキュリティ構成の作成」を参照してください。
  2. カスタム セキュリティ構成を定義しているときは、[Secret scanning] で [Prevent direct alert dismissals] のドロップダウン メニューが [Enabled] に設定されていることを確認します。
  3. [Save configuration] をクリックします。
  4. 組織内のすべての (または選択した) リポジトリにセキュリティ構成を適用します。 「カスタム セキュリティ構成の適用」を参照してください。

セキュリティ構成の詳細については、「大規模なセキュリティ機能の有効化について」を参照してください。

メモ

GitHub Apps をきめ細かいアクセス許可で使用して、委任された無視の要求をプログラムでレビューおよび承認できます。 これにより、organization はセキュリティ要求のレビューを効率化し、ポリシーを適用するか、外部のセキュリティ ツールと統合することで、すべてのレビューで確立された標準を確実に満たすことができます。 GitHub Enterprise Server では、バージョン 3.19 以降で GitHub Apps を使用して委任された無視の要求をレビューできます。 アクセス許可の詳細については、「"シークレット スキャンのための organization のバイパス要求" のための organization のアクセス許可」を参照してください。

Enterprise 用の委任された無視の構成

  1. 新しいカスタム セキュリティ構成を作成するか、既存のセキュリティ構成を編集します。 「Enterprise 用のカスタム セキュリティ構成の作成」を参照してください。
  2. カスタム セキュリティ構成を定義するときは、[Secret Protection] で [Prevent direct alert dismissals] のドロップダウン メニューが [Enabled] に設定されていることを確認します。
  3. [Save configuration] をクリックします。
  4. Enterprise 内のすべての (または選択した) リポジトリにセキュリティ構成を適用します。 「Enterprise に対するカスタム セキュリティ構成の適用」を参照してください。