secret scanning パターンについて
三、シークレット スキャンニング アラート二つの種類があります。
- シークレット スキャンニング アラート: リポジトリでサポートされているシークレットが検出されると、リポジトリの [ Security ] タブでユーザーに報告されます。
- プッシュ保護アラート: 共同作成者がプッシュ保護をバイパスすると、リポジトリの [ Security ] タブでユーザーに報告されます。
各アラート タイプの詳細については、「シークレット スキャン アラートについて」を参照してください。
secret scanning用の REST API を使用する場合は、Secret typeを使用して、特定の発行者からのシークレットについてレポートできます。 詳しくは、「シークレット スキャン用の REST API エンドポイント」をご覧ください。
パターン カテゴリ
| Category | Description | 検出アプローチ | 例 |
|---|---|---|---|
| ジェネリック | 秘密キーやデータベース接続文字列など、特定のプロバイダーに関連付けられていないシークレット | 正規表現ベース | rsa_private_key |
| AI 検出 | AI モデルを使用して Copilot シークレットスキャン によって検出された汎用パスワード | AI ベース | password |
| プロバイダー | 特定のサービス プロバイダー (AWS、Azure、Stripe など) に関連付けられているシークレット | 正規表現ベース | aws_access_key_id |
カテゴリ別の機能
| Capability | ジェネリック パターン | AIによって検出された | プロバイダー パターン |
|---|---|---|---|
| ユーザー アラート | |||
| パートナー通知 | |||
| (パートナーの場合) | |||
| プッシュ保護 (既定) | |||
| (ほとんどの場合) | |||
| プッシュ保護 (構成可能) | Some | ||
| 有効性チェック | Some | ||
| 拡張メタデータ | Some | ||
| Base64 形式のサポート | Some |
[! 注] 有効性と拡張メタデータ のチェックは、 GitHub Team または GitHub Enterprise を持つユーザーのみが、 GitHub Secret Protectionの一部として機能を有効にできます。
サポートされているジェネリック パターン
精度レベルは、パターンの種類の一般的な誤検知率に基づいて推定されます。
| プロバイダー | トークン | Description | 精度 |
|---|---|---|---|
| ジェネリック | ec_private_key | 暗号化操作に使用される楕円曲線 (EC) 秘密キー | High |
| ジェネリック | 汎用_秘密鍵 | ||
-----BEGIN PRIVATE KEY----- ヘッダーを使用した暗号化秘密キー | High | ||
| ジェネリック | http_basic_authentication_header | 要求ヘッダーの HTTP 基本認証資格情報 | ミディアム |
| ジェネリック | http_bearer_authentication_header | API 認証に使用される HTTP ベアラー トークン | ミディアム |
| ジェネリック | mongodb_connection_string | 資格情報を含む MongoDB データベースの接続文字列 | High |
| ジェネリック | mysql_connection_url | 資格情報を含む MySQL データベースの接続文字列 | High |
| ジェネリック | openssh_private_key | SSH 認証に使用される OpenSSH 形式の秘密キー | High |
| ジェネリック | pgp_private_key | 暗号化と署名に使用される PGP (Pretty Good Privacy) 秘密キー | High |
| ジェネリック | postgres_connection_string | 資格情報を含む PostgreSQL データベースの接続文字列 | High |
| ジェネリック | rsa_private_key | 暗号化操作に使用される RSA 秘密キー | High |
メモ
ジェネリック/プロバイダー以外のパターンでは、有効性チェックは サポートされていません 。
サポートされているプロバイダー パターン
次の表を使用して、サポートされているすべてのパターンを検索、フィルター処理、および参照します。 プロバイダー名、プッシュ保護のサポート、有効性チェックなどを使用してフィルター処理できます。
メモ
サービス プロバイダーは、トークンの生成に使用されるパターンを定期的に更新しており、複数のバージョンのトークンをサポートしている場合があります。 プッシュ保護では、 secret scanning が確実に識別できる最新のトークン バージョンのみがサポートされます。 これにより、レガシー トークンで発生しやすい偽陽性の結果により、プッシュ保護が不必要にコミットをブロックするのを回避できます。
501 パターンのうち 501 を表示
サポートされているパターン
| Secret | Partner | ユーザー アラート | プッシュプロテクション | 有効性チェック | メタデータ チェック | Base64 | |
|---|---|---|---|---|---|---|---|
| 1Password | 1Password Service Account Token
| ✗ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Adafruit | Adafruit IO Key
| ✓ | ✓ | ✓ | ✓ | ✓ | ✗ |
| Adobe | Adobe Client Secret
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Adobe | Adobe Device Token
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Adobe | Adobe PAC Token
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Adobe | Adobe Refresh Token
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Adobe | Adobe Service Token
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Adobe | Adobe Short-Lived Access Token
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Aikido | Aikido API Client Secret
| ✗ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Aikido | Aikido CI Scanning Token
| ✗ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Airtable | Airtable API Key
| ✗ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Airtable | Airtable Personal Access Token
| ✗ | ✓ | ✓ | ✓ | ✗ | ✗ |
| Aiven | Aiven Auth Token
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Aiven | Aiven Service Password
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Alibaba | Alibaba Cloud AccessKey ID
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Amazon AWS | Amazon AWS Access Key ID
| ✓ | ✓ | ✓ | ✓ | ✗ | ✓ |
| Amazon AWS | Amazon AWS API Key ID
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Amazon AWS | Amazon AWS Session Token
| ✗ | ✓ | ✓ | ✓ | ✗ | ✗ |
| Anthropic | Anthropic Admin API Key
| ✓ | ✓ | ✓ | ✓ | ✗ | ✗ |
| Anthropic | Anthropic API Key
| ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Anthropic | Anthropic Session ID
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Apify | Apify Actor Run API Token
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Apify | Apify Actor Run Proxy Password
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Apify | Apify API Token
| ✓ | ✓ | ✓ | ✓ | ✓ | ✗ |
| Apify | Apify Integration API Token
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |