GitHub では、新しい SSH キーの追加、アプリケーションの認可、チーム メンバーの変更などの機密性の高いアクションを実行するにはパスワードを必須としています。
アカウントのセキュリティを保つために、パスワードを変更してから次のアクションを実行するようにしてください:
-
ご自分のアカウントで 2 要素認証を有効にして、アクセスにパスワード以外のものも必要になるようにします。 詳しくは、「2 要素認証について」をご覧ください。
-
アカウントにパスキーを追加することで、セキュリティで保護されたパスワードレス ログインが可能になります。 パスキーはフィッシングに強く、暗記や能動的な管理は必要ありません。 「パスキーの概要」を参照してください。
-
SSH キーを確認し、キーをデプロイし、承認された OAuth アプリと GitHub Apps を使用して、SSH とアプリケーションの設定で未承認または未知のアクセスを取り消します。 詳しくは、「SSH キーをレビューする」、「デプロイ キーをレビューする」、「承認された OAuth アプリをレビューする」、「GitHub アプリの承認の確認と取り消し」を参照してください。
-
アカウントのセキュリティ ログをレビューします。 これで、リポジトリに対する各種の設定について概要がわかります。 たとえば、プライベートリポジトリがパブリックに変更されていないか、リポジトリが移譲されていないかを確認できます。 詳しくは、「セキュリティ ログをレビューする」をご覧ください。
-
リポジトリの Webhook をレビューします。 webhook では、攻撃者がリポジトリへのプッシュを傍受する可能性があります。 詳しくは、「webhook について」をご覧ください。
-
新しいデプロイ キーが作成されていないことを確認します。 外部サーバーがあなたのプロジェクトにアクセスできる可能性があります。 詳しくは、「デプロイキーの管理」をご覧ください。
-
リポジトリに対する最近のコミットをレビューします。
-
リポジトリごとにコラボレーターのリストをレビューします。