有効性チェックについて
リポジトリのサービス プロバイダー トークンとして識別されるシークレットの有効性チェックを有効にすることができます。 有効にすると、GitHub は GitHub のシークレット スキャン パートナーシップ プログラムの一環として、シークレットをプロバイダーに直接送信することにより、検出された資格証明の有効性を定期的にチェックします。 パートナー プログラムについては、「Secret scanningパートナープログラム」を参照してください。
GitHub は、アラート ビューにシークレットの有効性の状態を表示するので、シークレットが active
、inactive
であるか、または有効性の状態が unknown
であるかを確認できます。 必要に応じて、アラート ビューでシークレットの "オンデマンド" 有効性チェックを実行できます。
さらに、パートナー パターンの有効性チェックを有効にすることもできます。 有効にすると、GitHubはGitHubの正式なシークレット スキャン パートナーシップ プログラムの一環として、シークレットをプロバイダーに直接送信することにより、検出された資格証明の有効性を定期的にチェックします。 GitHubは通常、資格証明の有効性をチェックするために GET 要求を行い、最も侵入性の少ないエンドポイントを選択して個人情報を返さないエンドポイントを選択します。
GitHubは、アラート ビューにシークレットの有効性の状態を表示します。
アラート ページの検証状態でフィルター処理すると、アクションを実行する必要があるアラートに優先度を付けることができます。
Note
GitHubは通常、資格証明の有効性をチェックするために GET 要求を行い、最も侵入性の少ないエンドポイントを選択して個人情報を返さないエンドポイントを選択します。
有効性チェックの使用の詳細については、「シークレット スキャンからのアラートの評価」を参照してください。
有効性チェックの有効化
-
GitHub で、リポジトリのメイン ページに移動します。
-
リポジトリ名の下にある [設定] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
-
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。
-
Secret scanning で、「関連するパートナーに送信することでシークレットが有効かどうかを自動的に検証する」の横のチェックボックスをオンにします。
REST API を使用して、リポジトリのパートナー パターンの有効性チェックを有効にすることもできます。 詳しくは、「リポジトリの REST API エンドポイント」を参照してください。
または、組織の所有者とエンタープライズ管理者は、組織またはエンタープライズ設定内のすべてのリポジトリに対してこの機能を有効にすることができます。 Organization レベルでの有効化の詳細については、「Creating a custom security configuration」をご覧ください。 Enterprise レベルでの有効化の詳細については、「Enterprise 用の GitHub Advanced Security 機能の管理」および「エンタープライズ コードのセキュリティと分析のための REST API エンドポイント」を参照してください。