シークレット スキャンの委任アラート無視を有効にする

委任アラート無視を使うと、secret scanning によって検出されたアラートを無視できるユーザーを制御できます。

この機能を使用できるユーザーについて

Organization 所有者、セキュリティ マネージャー、リポジトリ管理者は、委任アラート無視を有効にすることができます。 有効にすると、organization 所有者とセキュリティ マネージャーはアラートを無視できるようになります。

この記事で

メモ

この承認プロセスを実装すると、ある程度の摩擦が発生する可能性があるため、続行する前に、セキュリティ マネージャーのチームが、解雇要求を定期的に確認するための十分なカバレッジを確保することが重要です。

リポジトリの委譲された却下を設定する

メモ

Organization 所有者が、適用されたセキュリティ構成を使って委任アラート無視を構成した場合、その設定をリポジトリ レベルで変更することはできません。

  1. GitHub で、リポジトリのメイン ページに移動します。1. リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。
    1. サイドバーの [Security] セクションで、[ Advanced Security] をクリックします。

  2. [Secret Protection] で、[Prevent direct alert dismissals] の右側にある [Enable] をクリックします。

組織の委任された解除を設定する

カスタム セキュリティ構成を使用して、組織の委任された解除を構成する必要があります。 その後、組織内のすべての (または選択した) リポジトリにセキュリティ構成を適用できます。

データの再利用可能なセキュリティ設定.カスタムセキュリティ設定-組織 %}

  1. カスタムセキュリティ構成を定義するときは、「Secret scanning」内で「アラートの直接却下を防ぐ」ドロップダウンメニューが [有効] に設定されていることを確認してください。
  2.        **[Save configuration]** をクリックします。
  3. 組織内のすべての (または選択した) リポジトリにセキュリティ構成を適用します。 「カスタム セキュリティ構成の適用」を参照してください。

セキュリティ構成の詳細については、「大規模なセキュリティ機能の有効化について」を参照してください。

メモ

GitHub Apps をきめ細かいアクセス許可で使用して、委任された無視の要求をプログラムでレビューおよび承認できます。 これにより、organization はセキュリティ要求のレビューを効率化し、ポリシーを適用するか、外部のセキュリティ ツールと統合することで、すべてのレビューで確立された標準を確実に満たすことができます。 GitHub Enterprise Server では、バージョン 3.19 以降、GitHub Apps を利用して委任された却下のリクエストをレビューできます。 アクセス許可の詳細については、「シークレット スキャンのバイパス要求に関する組織の許可」をご覧ください。

Enterprise に対する委任された消去の構成

  1. 新しいカスタム セキュリティ構成を作成するか、既存のセキュリティ構成を編集します。 「Enterprise 用のカスタム セキュリティ構成の作成」を参照してください。
  2. カスタムセキュリティ構成を定義するときは、「Secret Protection」の「アラートの直接的な解除を防ぐ」のドロップダウンメニューが 「有効化」 に設定されていることを確認してください。
  3.        **[Save configuration]** をクリックします。
  4. Enterprise 内のすべての (または選択した) リポジトリにセキュリティ構成を適用します。 「Enterprise に対するカスタム セキュリティ構成の適用」を参照してください。

次のステップ

secret scanning の委任されたアラートの無視を有効にしたら、アラートの無視要求を定期的に確認して、正確なアラート数を維持し、開発者のブロックを解除する必要があります。 「アラート却下リクエストの確認」を参照してください。