リポジトリの有効性チェックの有効化

リポジトリで有効性チェックを有効にすると、シークレットがアクティブか非アクティブかを示すアラートの修復に優先度を付けるのに役立ちます。

この機能を使用できるユーザーについて

パートナー パターンの有効性チェックは、次のリポジトリの種類で使用できます。

  •         [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) が有効になっている GitHub Team 上の organization 所有リポジトリ

この記事の内容

有効性チェックについて

リポジトリのサービス プロバイダー トークンとして識別されるシークレットの有効性チェックを有効にすることができます。 有効にすると、GitHub は GitHub のシークレット スキャン パートナーシップ プログラムの一環として、シークレットをプロバイダーに直接送信することにより、検出された資格証明の有効性を定期的にチェックします。 パートナー プログラムの詳細については、「Secret scanningパートナープログラム」を参照してください。

GitHub は、アラート ビューにシークレットの有効性の状態を表示するので、シークレットが activeinactive であるか、または有効性の状態が unknown であるかを確認できます。 必要に応じて、アラート ビューでシークレットの "オンデマンド" 有効性チェックを実行できます。

さらに、パートナー パターンの有効性チェックを有効にすることもできます。 有効にすると、GitHub は GitHub の公式シークレット スキャン パートナーシップ プログラムの一環として、シークレットをプロバイダーに直接送信することにより、検出された資格証明の有効性を定期的にチェックします。 GitHubは通常、資格証明の有効性をチェックするために GET 要求を行い、最も侵入性の少ないエンドポイントを選択して個人情報を返さないエンドポイントを選択します。

GitHub は、アラート ビューにシークレットの有効性の状態を表示します。

アラート ページの検証状態でフィルター処理すると、アクションを実行する必要があるアラートに優先度を付けることができます。

メモ

GitHubは通常、資格証明の有効性をチェックするために GET 要求を行い、最も侵入性の少ないエンドポイントを選択して個人情報を返さないエンドポイントを選択します。

有効性チェックの使用の詳細については、「シークレット スキャンからのアラートの評価」を参照してください。

有効性チェックの有効化

メモ

REST API を使用して、リポジトリのパートナー パターンの有効性チェックを有効にすることもできます。 詳しくは、「リポジトリの REST API エンドポイント」をご覧ください。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。

  3. サイドバーの [Security] セクションで、[ Advanced Security] をクリックします。

  4. [Secret Protection] の [有効性チェック] の右側にある [有効] をクリックします。

  5. ページの一番下までスクロールし、[ 変更の保存] をクリックします。

また、organization 所有者と Enterprise 管理者は、organization または Enterprise 内のすべてのリポジトリに対してこの機能を有効にすることもできます。 Organization レベルで機能を有効にする方法については、「カスタム セキュリティ構成の作成」を参照してください。 Enterprise レベルで機能を有効にする方法については、「Enterprise 用のカスタム セキュリティ構成の作成」を参照してください。

参考資料

  •           [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning)