シークレット スキャンからのアラートの評価

アラートを評価し、その修復に優先度を付けるのに役立つ追加機能 (シークレットの有効性の確認など) について説明します。

この機能を使用できるユーザーについて

リポジトリの所有者、組織の所有者、セキュリティ マネージャー、および 管理者 ロールを持つユーザー

Phase 4: Monitor and assess value

3 件中 3 件目
その他の記事→

この記事で

アラートの評価について

アラートの優先順位付けと管理を強化するため、アラートを評価するうえで便利な追加機能がいくつかあります。 次のようにすることができます。

  • シークレットの有効性をチェックし、シークレットがまだアクティブかどうかを確認します。

シークレットの有効性の確認を参照してください。

  • トークンのメタデータを確認します。 ** GitHub トークンにのみ適用されます**。 たとえば、トークンが最後に使用された日時を確認します。 トークン メタデータGitHub確認するを参照してください。

シークレットの有効性の確認

有効性チェックは、どのシークレットが active または inactive なのかを示し、アラートの優先順位付けに役立ちます。 active のシークレットは引き続き悪用される可能性があるため、これらのアラートを確認して優先事項として修復する必要があります。

既定では、GitHubGitHub トークンの有効性を確認し、アラート ビューにトークンの検証状態を表示します。

有効期限までの日数状態結果
アクティブなシークレットactiveGitHub はこのシークレットのプロバイダーでチェックし、シークレットがアクティブであることを確認しました
アクティブである可能性があるシークレットunknownGitHub は、このトークンの種類の有効性チェックをまだサポートしていません
アクティブである可能性があるシークレットunknownGitHub はこのシークレットを検証できませんでした
シークレットが非アクティブinactive未承認のアクセスが既に行われていないことを確認する必要があります

現在サポートされているパートナー パターンについては、 サポートされているシークレット スキャン パターン を参照してください。

REST API を使用して、各トークンの最新の検証状態の一覧を取得できます。 詳細については、REST API ドキュメントの「シークレット スキャン用の REST API エンドポイント」を参照してください。 また、webhook を使用して、 secret scanning アラートに関連するアクティビティの通知を受け取ることもできます。 secret_scanning_alert イベントの詳細については、「Webhook のイベントとペイロード」をご覧ください。

オンデマンドの有効性チェックの実行

リポジトリのパートナー パターンの有効性チェックを有効にしたら、アラート ビューで [シークレットの確認] をクリックして、サポートされているシークレットの "オンデマンド" 有効性チェック**** 実行できます。 GitHub は、関連するパートナーにパターンを送信し、アラート ビューにシークレットの検証状態を表示します。

secret scanning アラートを示す UI のスクリーンショット。 "シークレットの検証" とラベル付けされたボタンは、オレンジ色の枠線で強調されています。

トークン メタデータ GitHub 確認する

メモ

GitHub トークンのメタデータは現在パブリック プレビューであり、変更される可能性があります。

アクティブな GitHub トークン アラートのビューでは、トークンに関する特定のメタデータを確認できます。 このメタデータは、トークンを識別したり実行すべき修復手順を判断するのに役立ちます。

personal access tokenやその他の資格情報などのトークンは、個人情報と見なされます。 GitHub トークンの使用の詳細については、GitHubのプライバシーに関する声明および受け入れ可能な使用ポリシーを参照してください。

GitHub トークンの UI のスクリーンショット。トークン メタデータが表示されています。

GitHub トークンのメタデータは、シークレット スキャンが有効になっているリポジトリ内のアクティブ なトークンで使用できます。 トークンが取り消された場合や状態を検証できない場合は、メタデータを使うことができません。 GitHub はパブリック リポジトリ GitHub トークンを自動的に取り消すので、パブリック リポジトリ内の GitHub トークンのメタデータを使用できる可能性は低いです。 アクティブな GitHub トークンでは、次のメタデータを使用できます。

メタデータDescription
シークレット名作成者によって GitHub トークンに指定された名前
シークレットの所有者トークンの所有者の GitHub ハンドル
作成日トークンが作成された日付
有効期限切れトークンの有効期限が切れた日付
最終使用日トークンが最後に使用された日付
アクセストークンに Organization のアクセス権があるかどうか

漏洩したシークレットを含むリポジトリに対して管理者のアクセス許可を持つユーザーのみが、アラートのセキュリティ アラート詳細およびトークン メタデータを閲覧できます。 企業所有者は、この目的のためにリポジトリへの一時的なアクセスを要求できます。 アクセスが許可されている場合、 GitHub は、漏洩したシークレットを含むリポジトリの所有者に通知し、リポジトリ所有者とエンタープライズ監査ログでアクションを報告し、アクセスを 2 時間有効にします。

シークレット スキャンのプッシュ保護メトリックPhase 5: Scale, customize, and automate