パートナーに対するシークレット スキャンニング アラート
の概要
GitHub は、パートナーシップ プログラムに参加した特定のサービス プロバイダーによって発行されたシークレットをパブリック リポジトリとパブリック npm パッケージでスキャンし、コミットでシークレットが検出されるたびに関連するサービス プロバイダーに警告します。 サービス プロバイダーは文字列を検証してから、シークレットを取り消すか、新しいシークレットを発行するか、または直接連絡するかを決定します。 その対応は、ユーザーまたはプロバイダーに関連するリスクによって決まります。 パートナー プログラムの詳細については、「[AUTOTITLE](/code-security/secret-scanning/secret-scanning-partnership-program/secret-scanning-partner-program)」を参照してください。
メモ
パブリック リポジトリのパートナー パターンの secret scanning の構成を変更することはできません。
パートナーに対するシークレット スキャンニング アラート スキャン:
- 問題の説明とコメント
- オープンとクローズの過去の問題のタイトル、説明、およびコメント
- pull request のタイトル、説明とコメント
- のタイトル、説明、およびコメント GitHub Discussions
- ウィキ
- 秘密の要旨
いずれかのシークレットに対してリークが検出されるたびに、パートナーのアラートがシークレット プロバイダーに直接送信される理由は、プロバイダーがユーザーを保護し、リソースを保護するための迅速なアクションを実行できるようにするためです。 通常のアラートの通知プロセスは異なります。 通常のアラートは、リポジトリの
リソースへのアクセスにペアの資格情報が必要な場合は、ペアの両方の部分が同じファイルで検出された場合にのみ、シークレット スキャンによってアラートが作成されます。 これにより、最も重大なリークが部分リークに関する情報の背後に隠されないようにします。 ペア マッチングは、ペアの両方の要素をプロバイダーのリソースにアクセスするために一緒に使用する必要があるため、誤検知を減らすのにも役立ちます。
サポートされるシークレットは何か
プッシュ保護によってサポートされるシークレットとサービス プロバイダーの詳細については、「サポートされているシークレット スキャン パターン」を参照してください。