有効性チェックについて
有効性チェック (secret scanning の機能) は、検出されたシークレットがまだアクティブであり、悪用される可能性があるかどうかを確認します。 これにより、最初にアクティブであることが確認されたシークレットに焦点を当てることで、修復の優先順位を付けるのに役立ちます。
検出されたシークレットの自動有効性チェックを有効にすることができます。 有効にすると、 GitHub は、発行者にシークレットを送信し、そのサービスによって提供される API に対してテストすることで、検出された資格情報の有効性を定期的に確認します。 有効性チェックは多くのサービスプロバイダーのシークレットに対して利用でき、GitHub が追加のサービスとパートナーシップを結ぶことでサポートはさらに拡大しています。
GitHub は、資格情報の有効性を確認するときにプライバシーに優先順位を付けます。 通常、GET 要求を行い、最も侵入の少ないエンドポイントを選択し、個人情報を返さないエンドポイントを選択します。
GitHub は、シークレットの検証状態をアラート ビューに表示するため、シークレットが active、 inactive、または検証状態が unknownされているかどうかを確認できます。 必要に応じて、アラート ビューでシークレットの "オンデマンド" 有効性チェックを実行できます。
拡張メタデータ チェックについて
メモ
セキュリティ構成の拡張メタデータ チェックは現在パブリック プレビュー段階であり、変更される可能性があります。
拡張メタデータ チェックでは、検出されたシークレットに関する 追加のコンテキスト情報 が提供されます。 多くの場合、他のツールでは アナライザー と呼ばれます。
有効性チェックが有効になっている場合は、拡張メタデータ チェックを有効にすることができます。 次に、次のことに役立つ情報を取得します。
-
**検出されたシークレットに関するより深い洞察を得る: シークレット**を所有しているユーザーを把握します。 -
**修復に優先順位を付ける**: 公開されている各シークレットのスコープと影響を理解します。 -
**インシデント対応の改善**: シークレットが漏洩したときに、責任あるチームまたは個人をすばやく特定します。 -
**コンプライアンスの強化**: シークレットが組織のガバナンスとセキュリティ ポリシーと一致していることを確認します。 -
**誤検知を減らす**: 追加のコンテキストを使用して、検出にアクションが必要かどうかを判断します。
使用できる特定のメタデータは、サービス プロバイダーが GitHub と共有するものによって異なります。 すべてのシークレットの種類で拡張メタデータ チェックがサポートされているわけではありません。 詳しくは、「シークレット スキャンからのアラートの評価」をご覧ください。
有効性と拡張メタデータ チェックのはじめに
メモ
2026 年 2 月 18 日から、GitHub は、有効性チェックが有効になっているリポジトリの拡張メタデータ チェックを自動的に有効にします。 セキュリティ構成によって管理されるリポジトリの場合、GitHub はこれらの構成を更新し、アタッチされたリポジトリに機能を適用します。 これは、組織が手動で構成せずに強化されたメタデータの恩恵を受けるのに役立つ 1 回限りの移行です。
リポジトリ、組織、またはエンタープライズ レベルで有効性と拡張メタデータ チェックを有効にして、公開されている資格情報が最も早いセキュリティ リスクをもたらす優先順位を付けることができます。
大規模な組織では、 セキュリティ構成 を使用して、組織レベルまたはエンタープライズ レベルでこれらの機能を有効にすることをお勧めします。 セキュリティ構成を使用すると、secret scanningの設定を一元的に管理し、それを多くのリポジトリに一貫して適用することができます。
作業を開始するには:
- リポジトリについては、リポジトリの有効性チェックの有効化 を参照してください。
- 組織については、カスタム セキュリティ構成を作成する を参照してください
- 企業については、Enterprise 用のカスタム セキュリティ構成の作成 を参照してください。