secret scanning の概要
誰かが既知のパターンを持つシークレットをリポジトリにチェックインした場合、 secret scanning はチェックイン時にシークレットをキャッチし、リークの影響を軽減するのに役立ちます。 リポジトリ管理者は、シークレットを含むコミットについて通知を受け取り、リポジトリの [ Security ] タブで検出されたすべてのシークレットをすばやく表示できます。 「シークレット スキャンについて」を参照してください。
可用性
エンタープライズで GitHub Secret Protection が有効になっている場合、 Secret scanning は組織所有のリポジトリとユーザー所有のリポジトリで使用できます。
ライセンスに含まれているかどうかを確認する Advanced Security
Enterprise の設定を調べて、Enterprise が Advanced Security 製品のライセンスを所有しているかどうかを確認できます。 詳しくは、「エンタープライズに対して GitHub Advanced Security 製品を有効にする」をご覧ください。
secret scanningの前提条件
-
GitHub Enterprise Serverを実行する VM/KVM で SSSE3 (補助ストリーミング SIMD 拡張機能 3) CPU フラグを有効にする必要があります。 SS Standard Edition 3 の詳細については、Intel ドキュメントの Intel 64 および IA-32 アーキテクチャ最適化リファレンス マニュアルを参照してください。
-
GitHub Secret ProtectionまたはGitHub Advanced Securityのライセンス ([AUTOTITLE](/billing/managing-billing-for-your-products/managing-billing-for-github-advanced-security/about-billing-for-github-advanced-security) を参照) -
Secret scanning 管理コンソールで有効になっている ( エンタープライズに対して GitHub Advanced Security 製品を有効にする を参照)
vCPU での SSSE3 フラグのサポートを確認する
SSSE3 の一連の命令が必要なのは、 secret scanning がハードウェアアクセラレータパターンマッチングを利用して、 GitHub リポジトリにコミットされている可能性のある資格情報を見つけることです。 SSSE3 は、ほとんどの最新の CPU で有効になっています。 GitHub Enterprise Server インスタンスで使用できる vCPU に対して SSSE3 が有効になっているかどうかを確認できます。
-
GitHub Enterprise Server インスタンスの管理シェルに接続します。 「[AUTOTITLE](/admin/configuration/configuring-your-enterprise/accessing-the-administrative-shell-ssh)」を参照してください。 -
次のコマンドを入力します。
grep -iE '^flags.*ssse3' /proc/cpuinfo >/dev/null; echo $?これで値
0が返される場合は、SSSE3 フラグが使用可能で有効になっていることを示します。 secret scanningを有効にできるようになりました。 以下で「secret scanningを有効にする」を参照してください。これで
0が返されない場合、SSSE3 は VM/KVM で有効になっていません。 フラグを有効化する方法、またはゲスト VM で使用可能にする方法については、ハードウェア/ハイパーバイザーのドキュメントを参照する必要があります。
secret scanning の有効化
警告
- この設定を変更すると、GitHub Enterprise Server 上のユーザーが利用するサービスが再起動されます。 ユーザーのダウンタイムを最小限に抑えるために、この変更のタイミングは慎重に決めてください。
- Enterprise 内の organization が展開した既存のセキュリティ構成に影響しないように、機能の有効化設定を変更する予定がある場合は、事前に organization 所有者に連絡することをお勧めします。
-
GitHub Enterprise Server の管理アカウントから、任意のページの右上隅にある をクリックします。
-
[サイト管理者] ページにまだ表示されていない場合は、左上隅の [サイト管理者] をクリックします。
-
[ Site admin] サイドバーで、[[Management Console]] をクリックします。
-
[設定] サイドバーで [セキュリティ] をクリックします。
-
[セキュリティ] で、[ Secret scanning] を選択します。
-
[設定] サイドバーで [設定の保存] をクリックします。
メモ
[Management Console] で設定を保存すると、システム サービスが再起動され、ユーザーにわかるダウンタイムが発生する可能性があります。
-
設定の実行が完了するのを待ってください。
必要に応じて、ユーザーがエンタープライズ、組織、またはリポジトリ レベルで有効性チェックを有効にできるようにするには、 secret scanningの有効性チェックを構成します。
-
**有効性チェック**をクリックします。 有効性チェックの詳細については、 [AUTOTITLE を](/code-security/secret-scanning/enabling-secret-scanning-features/enabling-validity-checks-for-your-repository#about-validity-checks)参照してください。メモ
有効性チェックを有効にすると、送信要求がパートナー サービスに送信され、検出されたシークレットが検証されます。 これは、シークレット メタデータがインスタンスから離れることを意味します。 有効にする前に、これが企業のセキュリティおよびコンプライアンス ポリシーと一致していることを確認する必要があります。
-
単純な接続テストを実行して送信接続が可能であることを確認するには、[ 接続テストの有効性チェック] をクリックします。
無効にする secret scanning
警告
- この設定を変更すると、GitHub Enterprise Server 上のユーザーが利用するサービスが再起動されます。 ユーザーのダウンタイムを最小限に抑えるために、この変更のタイミングは慎重に決めてください。
- Enterprise 内の organization が展開した既存のセキュリティ構成に影響しないように、機能の有効化設定を変更する予定がある場合は、事前に organization 所有者に連絡することをお勧めします。
-
GitHub Enterprise Server の管理アカウントから、任意のページの右上隅にある をクリックします。
-
[サイト管理者] ページにまだ表示されていない場合は、左上隅の [サイト管理者] をクリックします。
-
[ Site admin] サイドバーで、[[Management Console]] をクリックします。
-
[設定] サイドバーで [セキュリティ] をクリックします。
-
[セキュリティ] で、 Secret scanning の選択を解除します。
-
[設定] サイドバーで [設定の保存] をクリックします。
メモ
[Management Console] で設定を保存すると、システム サービスが再起動され、ユーザーにわかるダウンタイムが発生する可能性があります。
-
設定の実行が完了するのを待ってください。