アラートの評価について
アラートの優先順位付けと管理を強化するため、アラートを評価するうえで便利な追加機能がいくつかあります。 次のようにすることができます。
- シークレットの有効性をチェックし、シークレットがまだアクティブかどうかを確認します。 GitHub トークンにのみ適用されます。 シークレットの有効性を確認するには参照してください。
- "オンデマンド" の有効性チェックを実行し、最新の有効性の状態を取得します。 オンデマンドの有効性チェックの実行を参照してください。
- トークンのメタデータを確認します。 GitHubトークンにのみ適用されます。 たとえば、トークンが最後に使用された日時を確認します。 GitHub トークン メタデータの確認を参照してください。
- 公開されているシークレットの拡張メタデータ チェックを確認して、シークレットの所有者やシークレット所有者に連絡する方法などの詳細を確認します。 OpenAI API、Google OAuth、Slack トークンにのみ適用されます。 トークンの拡張メタデータの確認を参照してください。
- アラートに割り当てられているラベルを確認します。 詳しくは、「アラート ラベルの確認」を参照してください。
シークレットの有効性の確認
有効性チェックは、どのシークレットが active または inactive なのかを示し、アラートの優先順位付けに役立ちます。 active のシークレットは引き続き悪用される可能性があるため、これらのアラートを確認して優先事項として修復する必要があります。
既定では、GitHub は GitHub トークンの有効性をチェックし、アラート ビューにトークンの有効性の状態を表示します。
GitHub Secret Protection 用のライセンスで GitHub Team または GitHub Enterprise Cloud を使っている organization は、パートナー パターンの有効性チェックを有効にすることもできます。 詳しくは、「シークレットの有効性の確認」をご覧ください。
| 有効期限までの日数 | 状態 | 結果 |
|---|---|---|
| アクティブなシークレット | active | GitHub はこのシークレットのプロバイダーでチェックし、シークレットがアクティブであることを確認しました |
| アクティブである可能性があるシークレット | unknown | GitHub は、このトークンの種類の有効性チェックをまだサポートしていません |
| アクティブである可能性があるシークレット | unknown | GitHub はこのシークレットを検証できませんでした |
| シークレットが非アクティブ | inactive | 未承認のアクセスが既に行われていないことを確認する必要があります |
パートナー パターンの有効性チェックは、次のリポジトリの種類で使用できます。
-
[GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) が有効になっている GitHub Team または GitHub Enterprise Cloud 上の organization 所有リポジトリ
GHE.com の データ所在地付き GitHub Enterprise Cloud では、パートナー パターンの有効性チェックを 使用できません 。
パートナー パターンの有効性チェックを有効化する方法の詳細については、「リポジトリの有効性チェックの有効化」を参照してください。現在サポートされているパートナー パターンの詳細については、「サポートされているシークレット スキャン パターン」を参照してください。
REST API を使用して、各トークンの最新の検証状態の一覧を取得できます。 詳細については、REST API ドキュメントの「シークレット スキャン用の REST API エンドポイント」を参照してください。 Webhook を使用して、secret scanning アラートに関連するアクティビティの通知を受け取ることもできます。 secret_scanning_alert イベントの詳細については、「Webhook のイベントとペイロード」をご覧ください。
secret scanning アラートについて、GitHub Copilot チャット に質問する
GitHub Copilot Enterprise ライセンスを使用すると、Copilot チャット に質問して、組織内のリポジトリにある secret scanning アラートを含むセキュリティ アラートについて理解を深めることができます。 詳しくは、「GitHubでGitHub Copilotに関する質問をする」をご覧ください。
オンデマンドの有効性チェックの実行
リポジトリでパートナー パターンに有効性チェックを有効にすると、アラート ビューで [シークレットの検証] をクリックすることにより、サポートされているシークレットに "オンデマンド" の有効性チェックを実行できます。 GitHub は、関連するパートナーにパターンを送信し、アラート ビューにシークレットの検証状態を表示します。
GitHub トークン メタデータの確認
メモ
現在、GitHub トークンのメタデータは パブリック プレビュー であり、変更される可能性があります。
アクティブな GitHub トークン アラートのビューでは、そのトークンに関する特定のメタデータを確認できます。 このメタデータは、トークンを識別したり実行すべき修復手順を判断するのに役立ちます。
personal access token などのトークンやその他の資格情報は、個人情報と見なされます。 GitHub トークンの使用について詳しくは、「GitHub のプライバシーに関する声明」と「GitHub 利用規約」をご覧ください。
GitHub トークンのメタデータは、シークレット スキャンが有効になっているリポジトリ内にあるアクティブなトークンに使うことができます。 トークンが取り消された場合や状態を検証できない場合は、メタデータを使うことができません。 GitHub によってパブリック リポジトリ内にある GitHub トークンが自動的に取り消されるため、パブリック リポジトリ内にある GitHub トークンのメタデータを使うことができる可能性はあまりありません。 次のメタデータは、アクティブな GitHub トークンに使うことができます。
| メタデータ | Description |
|---|---|
| シークレット名 | 作成者が GitHub に付けた名前 |
| シークレットの所有者 | トークンの所有者の GitHub ハンドル |
| 作成日 | トークンが作成された日付 |
| 有効期限切れ | トークンの有効期限が切れた日付 |
| 最終使用日 | トークンが最後に使用された日付 |
| アクセス | トークンに Organization のアクセス権があるかどうか |
漏洩したシークレットを含むリポジトリに対して管理者のアクセス許可を持つユーザーのみが、アラートのセキュリティ アラート詳細およびトークン メタデータを閲覧できます。 企業所有者は、この目的のためにリポジトリへの一時的なアクセスを要求できます。 アクセスが許可されている場合、GitHub は漏洩したシークレットを含むリポジトリの所有者に通知し、リポジトリ所有者と Enterprise の監査ログでアクションを報告し、アクセスを 2 時間有効化します。詳しくは、「エンタープライズ内のユーザー所有のリポジトリにアクセスする」を参照してください。
トークンの拡張メタデータの確認
アクティブな GitHub トークン アラートのビューでは、所有者や連絡先の詳細などの拡張メタデータ情報を確認できます。
次の表に、 使用可能なすべてのメタデータを示します。 メタデータ チェックは現在、OpenAI API、Google OAuth、Slack トークンに限定されており、各トークンに表示されるメタデータは、存在するもののサブセットのみを表している可能性があることに注意してください。
| メタデータの種類 | Description |
|---|---|
| 所有者 ID | シークレットを所有するユーザーまたはサービス アカウントに対するプロバイダーの一意の識別子 |
| 所有者名 | シークレットの所有者の人間に読みやすいユーザー名または表示名 |
| 所有者のメール | 所有者に関連付けられている電子メール アドレス |
| 組織名 | シークレットが属する組織/ワークスペース/プロジェクトの名前 |
| 組織 ID | その組織に特有のプロバイダー識別子 |
| シークレット発行日 | シークレット (トークンまたはキー) が作成されたとき、または最後に発行されたときのタイムスタンプ |
| シークレットの有効期限 | シークレットの有効期限が設定されているタイムスタンプ |
| シークレット名 | シークレットの人間によって割り当てられた表示名またはラベル |
| シークレット ID | シークレットに対するプロバイダーの一意の識別子 |
アラート ラベルの確認
アラート ビューでは、アラートに割り当てられているラベルを確認できます。 ラベルにはアラートに関する追加の詳細が表示され、修復のために実行するアプローチを通知できます。
Secret scanning アラートには、次のラベルを割り当てることができます。 割り当てられたラベルに応じて、アラート ビューに追加情報が表示されます。
| ラベル | Description | アラート表示情報 |
|---|---|---|
public leak | リポジトリで検出されたシークレットは、GitHub のコード、ディスカッション、gist、問題、pull request、Wiki のスキャンの少なくとも 1 つによって、パブリックにリークされていることが検出されました。 これにより、緊急度の高いアラートに対処したり、プライベートに公開されたトークンとは異なる方法でアラートを修復したりする必要がある場合があります。 | 漏洩したシークレットが検出された特定のパブリックな場所へのリンクが表示されます。 |
multi-repo | リポジトリで検出されたシークレットは、Organization または Enterprise 内の複数のリポジトリで検出されました。 この情報は、Organization または Enterprise 全体のアラートをより簡単に重複排除するのに役立ちます。 | 適切なアクセス許可がある場合は、Organization または Enterprise 内の同じシークレットに対する特定のアラートへのリンクが表示されます。 |
次のステップ
-
[AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning/resolving-alerts)