Skip to main content

シークレット スキャンのパブリック監視

パブリック監視では、 GitHubを越えてパブリック リポジトリ内のエンタープライズ メンバーによって漏洩した資格情報が検出され、企業の境界を越えた秘密の公開を可視化できます。

この機能を使用できるユーザーについて

Public monitoring is available for enterprises on GitHub Enterprise Cloud with GitHub Advanced Security or GitHub Secret Protection enabled. Public monitoring is not available for データ所在地付き GitHub Enterprise Cloud.

メモ

secret scanningのパブリック監視は現在パブリック プレビュー中であり、変更される可能性があります。 フィードバックがある場合は、 ディスカッションに参加してください。

パブリック監視について

GitHub は、リアルタイムで GitHub 間で漏洩したシークレットを監視します。 パブリック監視では、貴社のメンバーがコミットを行う場所に基づいて、公開されたシークレットを貴社に関連付けます。

Secret scanning は、企業が所有するリポジトリ内のシークレットを検出します。 パブリック監視は、企業が漏洩したリポジトリを所有しているかどうかに関係なく、 GitHub.com全体の任意のパブリック リポジトリで見つかったシークレットにこの検出を拡張します。

これにより、企業のセキュリティ管理者は、他の方法では認識できない資格情報の公開を可視化でき、悪いアクターによって悪用される可能性のある潜在的なリスクや漏洩したシークレットを特定するのに役立ちます。

パブリック監視のしくみ

パブリック監視は、GitHub 全体で、Issue やプルリクエストのコメントなどのコード以外のコンテンツを含むパブリック リポジトリをスキャンし、エンタープライズに関連付けられたシークレットを検出します。 シークレットが検出されると、エンタープライズ レベルのセキュリティの概要にアラートが表示されます。

アトリビューション方法

パブリック監視では、次の 2 つの方法を使用して、検出されたシークレットを企業に関連付けます。

  • エンタープライズ メンバーシップ: 企業のメンバーであるユーザーによって漏洩したシークレット
  • 検証済みドメインの一致: 電子メール アドレスが企業の検証済みドメインと一致するユーザーによって漏洩したシークレット (直接のエンタープライズ メンバーではない場合でも)

パブリック監視が有効になっている場合、両方の属性方法がアクティブになります。

Requirements

パブリック監視を使用するには、企業で次の手順を実行する必要があります。

  • GitHub Advanced SecurityまたはGitHub Secret Protectionを有効にする