誤ってコミットされたシークレットの不正使用を防ぐために、サポートされているシークレットと GitHub が連携するパートナーの一覧。

この機能を使用できるユーザーについて

Secret scanning は、次のリポジトリの種類で使用できます。

  • パブリック リポジトリ: Secret scanning は無料で自動的に実行されます。
  • 組織所有のプライベートリポジトリと内部リポジトリ: GitHub Secret Protection または GitHub Team で有効になっている GitHub Enterprise Cloud で使用できます。
  • ユーザー所有のリポジトリ: GitHub Enterprise Cloud および Enterprise Managed Users で利用可能です。 GitHub Enterprise Server で使用できるのは、エンタープライズで GitHub Secret Protection が有効になっている場合です。

この記事で

          secret scanning パターンについて

には、シークレット スキャンニング アラート二つの種類があります。

          ユーザー アラート:** リポジトリでサポートされているシークレットが検出されると、リポジトリの [ **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** ] タブでユーザーに報告されます。
  • プッシュ保護アラート: 共同作成者がプッシュ保護をバイパスすると、リポジトリの [ Security and quality ] タブでユーザーに報告されます。
  • **パートナーアラート:**secret scanningのパートナー プログラムの一部であるシークレット プロバイダーに直接報告されます。 これらのアラートは、リポジトリの [ Security and quality ] タブには報告されません。

各アラート タイプの詳細については、「シークレット スキャン アラートについて」を参照してください。

          secret scanning用の REST API を使用する場合は、`Secret type`を使用して、特定の発行者からのシークレットについてレポートできます。 詳しくは、「[AUTOTITLE](/enterprise-cloud@latest/rest/secret-scanning)」をご覧ください。

パターン カテゴリ

CategoryDescription検出アプローチ
ジェネリック秘密キーやデータベース接続文字列など、特定のプロバイダーに関連付けられていないシークレット正規表現ベースrsa_private_key
AI 検出AI モデルを使用して Copilot シークレットスキャン によって検出された汎用パスワードAI ベースpassword
プロバイダー特定のサービス プロバイダー (AWS、Azure、Stripe など) に関連付けられているシークレットRegex を用いたaws_access_key_id

カテゴリ別の機能

Capabilityジェネリック パターンAIによって検出されたプロバイダー パターン
ユーザー アラート
パートナー通知
          <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Supported" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> (パートナーの場合) |

| プッシュ保護 (既定) | | | (ほとんどの場合) | | プッシュ保護 (構成可能) | | | Some | | 有効性チェック | | | Some | | 拡張メタデータ | | | Some | | Base64 形式のサポート | | | Some |

[! 注] 有効性と拡張メタデータ のチェックは、 GitHub Team または GitHub Enterprise を持つユーザーのみが、 GitHub Secret Protectionの一部として機能を有効にできます。

サポートされているジェネリック パターン

精度レベルは、パターンの種類の一般的な誤検知率に基づいて推定されます。

プロバイダートークンDescription精度
ジェネリックec_private_key暗号化操作に使用される楕円曲線 (EC) 秘密キーHigh
ジェネリック汎用_秘密鍵
          `-----BEGIN PRIVATE KEY-----` ヘッダーを使用した暗号化秘密キー | High |

| ジェネリック | http_basic_authentication_header | 要求ヘッダーの HTTP 基本認証資格情報 | ミディアム | | ジェネリック | http_bearer_authentication_header | API 認証に使用される HTTP ベアラー トークン | ミディアム | | ジェネリック | mongodb_connection_string | 資格情報を含む MongoDB データベースの接続文字列 | High | | ジェネリック | mysql_connection_url | 資格情報を含む MySQL データベースの接続文字列 | High | | ジェネリック | openssh_private_key | SSH 認証に使用される OpenSSH 形式の秘密キー | High | | ジェネリック | pgp_private_key | 暗号化と署名に使用される PGP (Pretty Good Privacy) 秘密キー | High | | ジェネリック | postgres_connection_string | 資格情報を含む PostgreSQL データベースの接続文字列 | High | | ジェネリック | rsa_private_key | 暗号化操作に使用される RSA 秘密キー | High |

メモ

ジェネリック/プロバイダー以外のパターンでは、有効性チェックは サポートされていません

サポートされている AI 検出パターン

          Secret scanning は、 Copilot を使用して汎用パスワードを検出します。 「[AUTOTITLE](/code-security/secret-scanning/copilot-secret-scanning/responsible-ai-generic-secrets)」を参照してください。
プロバイダートークン
ジェネリックパスワード

メモ

パスワードでは、プッシュ保護と有効性チェックはサポートされていません。

<<<<<<< HEAD

既定のパターン

=======

サポートされているプロバイダー パターン

origin/main

次の表を使用して、サポートされているすべてのパターンを検索、フィルター処理、および参照します。 プロバイダー名、プッシュ保護のサポート、有効性チェックなどを使用してフィルター処理できます。

メモ

サービス プロバイダーは、トークンの生成に使用されるパターンを定期的に更新しており、複数のバージョンのトークンをサポートしている場合があります。 プッシュ保護では、 secret scanning が確実に識別できる最新のトークン バージョンのみがサポートされます。 これにより、レガシー トークンで発生しやすい偽陽性の結果により、プッシュ保護が不必要にコミットをブロックするのを回避できます。

517 パターンのうち 517 を表示

サポートされているパターン

SecretPartnerユーザー アラートプッシュプロテクション有効性チェックメタデータ チェックBase64
1Password
1Password Service Account Token

1password_service_account_token

Adafruit
Adafruit IO Key

adafruit_io_key

Adobe
Adobe Client Secret

adobe_client_secret

Adobe
Adobe Device Token

adobe_device_token

Adobe
Adobe PAC Token

adobe_pac_token

Adobe
Adobe Refresh Token

adobe_refresh_token

Adobe
Adobe Service Token

adobe_service_token

Adobe
Adobe Short-Lived Access Token

adobe_short_lived_access_token

Aikido
Aikido API Client Secret

aikido_api_client_secret

Aikido
Aikido CI Scanning Token

aikido_ci_scanning_token

Airtable
Airtable API Key

airtable_api_key

Airtable
Airtable Personal Access Token

airtable_personal_access_token

Aiven
Aiven Auth Token

aiven_auth_token

Aiven
Aiven Service Password

aiven_service_password

Alibaba
Alibaba Cloud AccessKey ID

alibaba_cloud_access_key_id, alibaba_cloud_access_key_secret

Amazon AWS
Amazon AWS Access Key ID

aws_access_key_id, aws_secret_access_key, トークンのバージョン

Amazon AWS
Amazon AWS API Key ID

aws_api_key

Amazon AWS
Amazon AWS Session Token

aws_secret_access_key, aws_session_token, aws_temporary_access_key_id

Anthropic
Anthropic Admin API Key

anthropic_admin_api_key

Anthropic
Anthropic API Key

anthropic_api_key, トークンのバージョン

Anthropic
Anthropic Session ID

anthropic_session_id

Apify
Apify Actor Run API Token

apify_actor_run_api_token

Apify
Apify Actor Run Proxy Password

apify_actor_run_proxy_password

Apify
Apify API Token

apify_api_token

Apify
Apify Integration API Token

apify_integration_api_token