メモ
secret scanningのパブリック監視は現在パブリック プレビュー中であり、変更される可能性があります。 フィードバックがある場合は、 ディスカッションに参加してください。
パブリック監視について
GitHub は、リアルタイムで GitHub 間で漏洩したシークレットを監視します。 パブリック監視では、貴社のメンバーがコミットを行う場所に基づいて、公開されたシークレットを貴社に関連付けます。
Secret scanning は、企業が所有するリポジトリ内のシークレットを検出します。 パブリック監視は、企業が漏洩したリポジトリを所有しているかどうかに関係なく、 GitHub.com全体の任意のパブリック リポジトリで見つかったシークレットにこの検出を拡張します。
これにより、企業のセキュリティ管理者は、他の方法では認識できない資格情報の公開を可視化でき、悪いアクターによって悪用される可能性のある潜在的なリスクや漏洩したシークレットを特定するのに役立ちます。
パブリック監視のしくみ
パブリック監視は、GitHub 全体で、Issue やプルリクエストのコメントなどのコード以外のコンテンツを含むパブリック リポジトリをスキャンし、エンタープライズに関連付けられたシークレットを検出します。 シークレットが検出されると、エンタープライズ レベルのセキュリティの概要にアラートが表示されます。
アトリビューション方法
パブリック監視では、次の 2 つの方法を使用して、検出されたシークレットを企業に関連付けます。
- エンタープライズ メンバーシップ: 企業のメンバーであるユーザーによって漏洩したシークレット
- 検証済みドメインの一致: 電子メール アドレスが企業の検証済みドメインと一致するユーザーによって漏洩したシークレット (直接のエンタープライズ メンバーではない場合でも)
パブリック監視が有効になっている場合、両方の属性方法がアクティブになります。
Requirements
パブリック監視を使用するには、企業で次の手順を実行する必要があります。
- GitHub Advanced SecurityまたはGitHub Secret Protectionを有効にする