シークレット スキャンニング アラート
の通知を構成する
リポジトリの [セキュリティ] タブにアラートを表示するだけでなく、GitHub はアラートの電子メール通知を送信することもできます。 これらの通知は、増分スキャンと履歴スキャンで異なります。
増分スキャン
新しいシークレットが検出されると GitHub によって、通知設定に従ってリポジトリのセキュリティ アラートにアクセスできるすべてのユーザーに通知されます。 これらのユーザーは次のとおりです。
- リポジトリ管理者
- セキュリティマネージャー
- 読み書きアクセス権が与えられるカスタム ロールを持つユーザー
- Organization 所有者とエンタープライズ所有者。シークレットが漏洩したリポジトリの管理者である場合
Note
シークレットを誤ってコミットしてしまったコミット作成者には、通知の基本設定に関係なく通知が行われます。
次の場合に、電子メール通知を受け取ります。
- リポジトリをウォッチしている。
- リポジトリ で [すべてのアクティビティ]、またはカスタムの [セキュリティ アラート] の通知を有効にしている。
- 通知設定にある [サブスクリプション] の [ウォッチ] で、電子メールによる通知を受け取ることを選んだ。
-
GitHub で、リポジトリのメイン ページに移動します。
-
リポジトリのウォッチを開始するには、 [ ウォッチ] を選んでください。
-
ドロップダウン メニューで、 [すべてのアクティビティ] を選びます。 または、セキュリティ アラートのみをサブスクライバーにする場合は、 [カスタム] を選び、 [セキュリティ アラート] を選びます。
-
個人用アカウントの通知設定に移動します。 https://github.com/settings/notifications で利用できます。
-
通知設定のページの、[サブスクリプション] にある [視聴] で、 [通知する] ドロップダウンを選びます。
-
通知方法として [Email] を選び、 [保存] を選びます。
通知設定について詳しくは、「リポジトリのセキュリティと分析設定を管理する」と「個々のリポジトリのウォッチ設定の構成」を参照してください。
履歴スキャン
履歴スキャンの場合、GitHub では次のユーザーに通知します。
- 組織所有者、エンタープライズ所有者、セキュリティ マネージャー - 履歴スキャンの完了時に必ず。シークレットが見つからないとしても。
- リポジトリ管理者、セキュリティ マネージャー、読み書きアクセス権が与えられるカスタム ロールを持つユーザー - 履歴スキャンでシークレットが見つかったときは必ず。通知設定に基づいて。
コミット作成者には通知 "しません"。
通知設定について詳しくは、「リポジトリのセキュリティと分析設定を管理する」と「個々のリポジトリのウォッチ設定の構成」を参照してください。
シークレット スキャン アラートへの応答の監査
GitHub ツールを使用して、secret scanning アラートに応答して実行されたアクションを監査できます。 詳しくは、「セキュリティ アラートの監査」を参照してください。