GitHub Secret Protection について
Secret Protection に含まれる次の機能は、シークレットの漏洩を検出して防止するのに役立ち、監視と検出を継続的に行うことができます。 機能とその利用可能性について詳しくは、「GitHub Secret Protection」をご覧ください。。
-
Secret scanning: リポジトリにチェックインされているシークレット (たとえばキーやトークンなど) を検出し、アラートを受信します。
-
プッシュ保護: シークレットを含むコミットを禁止することで、シークレットの漏洩を発生前に防ぎます。
-
Copilot シークレット スキャン: AI を活用して、リポジトリにチェックインされたパスワードなどの非構造化資格情報を検出します。
-
カスタム パターン: organization 固有のシークレットの漏洩を検出および防止します。
-
プッシュ保護の委任されたバイパスと委任されたアラートの無視: Enterprise 内で機密性の高いアクションを実行できるユーザーをより適切に制御するための承認プロセスを実装し、ガバナンスを大規模にサポートします。
-
セキュリティの概要: organization 全体のリスク分散を理解します。
さらに、Secret Protection には無料のスキャン機能であるリスク評価レポートが含まれており、organization が GitHub 境界全体でシークレットの漏洩の範囲を把握するのに役立ちます。
secret risk assessment レポートを生成するには、organization の [ Security] タブで、[ Assessments] ページを表示し、[Scan your organization] をクリックします に移動します。
Secret Protection は、それが有効になっているリポジトリに対するアクティブなコミッターごとに課金されます。 GitHub Team または GitHub Enterprise プランをお持ちのユーザーは、それを使用できます。「GitHub Advanced Security ライセンスの課金」をご覧ください。
GitHub には、ライセンスの使用を最適化しながら、予算を設定し、ロールアウトのスコープを正当化し、最初に Secret Protection を有効にするリポジトリの優先順位を決めるのに役立つ、2 つの計算ツールが用意されています。 次のものを見積もることができです。
- Organization のリポジトリでプッシュ保護を使うことで節約できるコスト (ROI calculator を使用)。 「プッシュ保護のコスト削減の計算」を参照してください。
- Organization のリポジトリに対する Secret Protection の毎月のコスト (pricing calculator を使用)。 「Secret Protection の価格の見積もり」を参照してください。
Organization のすべてのリポジトリに対して Secret Protection を有効にする必要がある理由
GitHub は、シークレットの漏洩や公開のリスクから organization を保護するため、すべてのリポジトリで GitHub Secret Protection 製品を有効にすることをお勧めします。 GitHub Secret Protection は、パブリック リポジトリに対しては無料で有効にでき、プライベートと内部のリポジトリでは購入可能なアドオンとして利用できます。
-
無料のsecret risk assessmentは、アーカイブされたリポジトリ内のコードを含め、organization 内の "コードのみ" をスキャンします。__ スキャン対象のサーフェスを拡張して、pull request、issue、wiki、および GitHub Secret Protection を伴う GitHub Discussions のコンテンツをカバーできます。。 「シークレット スキャンについて」を参照してください。
-
secret risk assessment と secret scanning は、リポジトリに_既にコミットされているコードをスキャンします_。 プッシュ保護では、コミットが GitHub に保存される "前の" プッシュ プロセスの間に、コードでシークレットがスキャンされて、シークレットが検出されるとプッシュはブロックされます。__ 「プッシュ保護について」を参照してください。
-
Organization の内部的なシークレット パターンが 1 つ以上ある場合、それらは secret scanning でサポートされている既定のパターンでは検出されません。 ユーザーの organization 内でのみ有効なカスタム パターンを定義し、secret scanning 機能を拡張してこれらのパターンを検出できます。 「シークレット スキャンのカスタム パターンの定義」を参照してください。
-
悪用される可能性があるシークレットがわかっていれば、secret scanning によって検出された漏洩したシークレットの修復を優先しやすくなります。 有効性チェックを使うと、アクティブなシークレットが引き続き悪用される可能性があるため、これらのアラートを確認し、優先して修復する必要があるかどうかがわかります。 「リポジトリの有効性チェックの有効化」を参照してください。
-
また、パスワードなどの非構造化シークレットの漏洩を検出することもできます。 これは、AI 搭載の Copilot シークレット スキャン によって可能です。 「Copilotシークレットスキャンを使用したジェネリックシークレットの責任ある検出」を参照してください。
-
セキュリティ データの防止、検出、修復の視覚化は、作業対象の場所とセキュリティ イニシアティブが影響を与えている場所を理解するために重要です。 セキュリティの概要には、organization と Enterprise のレベルでコードベースの現状を詳しく調べることができる専用のビューがあります。 「セキュリティの概要について」を参照してください。
シークレットの漏洩の検出と防止に加えて、ソフトウェア サプライ チェーンを保護するため、organization のすべてのワークフローにコード セキュリティを組み込むことを検討する必要があります。 「サプライ チェーンのセキュリティについて」を参照してください。
セキュリティのニーズやオプションの評価に関するサポートが必要な場合は、GitHub の営業チームにお問い合わせください。
または、ニーズの評価に GitHub Advanced Security を無料で試すこともできます。 「GitHub Advanced Security の試用版を計画する」を参照してください。
Secret Protection の有効化
GitHub-recommended security configuration (organization 内のリポジトリに適用できるセキュリティ有効化設定のコレクション) を使用すると、セキュリティ機能を大規模にすばやく有効にすることができます。 その後、global settings を使うと、organization レベルで Advanced Security の機能をさらにカスタマイズできます。 「大規模なセキュリティ機能の有効化について」をご覧ください。
Security configurations は、Enterprise と organization のレベルで適用できます。 Organization に対して追加のセキュリティ設定を構成することもできます。 global settings と呼ばれるこれらの設定は、その後、organization 内のすべてのリポジトリによって継承されます。 global settings を使うと、セキュリティ機能による organization の分析方法をカスタマイズできます。 「組織のグローバル セキュリティ設定の構成」を参照してください。
さらに、リポジトリ管理者はリポジトリ レベルでセキュリティ機能を有効にできます。
secret risk assessment からの Secret Protection の有効化
-
GitHub で、organization のメイン ページに移動します。
-
組織名の下で、 [ セキュリティ] をクリックします。
![組織の水平ナビゲーション バーのスクリーンショット。 盾のアイコンと [セキュリティ] というラベルのタブが、濃いオレンジ色の枠線で囲まれています。](/assets/cb-22170/images/help/organizations/organization-security-tab.png)
-
サイドバーの [Security] で、[ Assessments] をクリックします。
-
バナー表示の [Enable Secret Protection] ドロップダウンをクリックしてから、organization のリポジトリで機能を有効にするオプションのいずれかを選びます。
-
無料のパブリック リポジトリの場合: organization 内のパブリック リポジトリについて "のみ" クリックして有効にします。__
-
すべてのリポジトリの場合: [Enable Secret Protection] をクリックし、表示される見積もりコストで、secret scanning とプッシュ保護の両方を organization 内のすべてのリポジトリに対して有効にします。 使用コストを払うか、GitHub Secret Protection ライセンスを購入する必要があります。
または、[Configure in settings] をクリックして、Secret Protection を有効にするリポジトリをカスタマイズします。 「組織での GitHub で推奨されるセキュリティ構成の適用」と「カスタム セキュリティ構成の作成」をご覧ください。
-
![組織の水平ナビゲーション バーのスクリーンショット。 盾のアイコンと [セキュリティ] というラベルのタブが、濃いオレンジ色の枠線で囲まれています。](/assets/cb-22170/mw-1440/images/help/organizations/organization-security-tab.webp)