プッシュ保護について

プッシュ保護は、secret scanning 機能であり、シークレットやトークンなどの機密情報が最初にリポジトリにプッシュされないように設計されています。コミットされた後にシークレットを検出する secret scanning とは異なり、プッシュ保護は、プッシュプロセス中にコードでシークレットを事前にスキャンし、何かが検出された場合はプッシュをブロックします。

プッシュ保護は、リソースやサービスへの不正アクセスなど、公開されたシークレットに関連するリスクを回避するのに役立ちます。この機能を使用すると、開発者はすぐにフィードバックを受け取り、セキュリティ上の問題になる前に潜在的な問題に対処できます。

プッシュ保護を有効にできます:

リポジトリ/組織レベルで、リポジトリ管理者または組織の所有者である場合。リポジトリへの共同作成者がプッシュ保護をバイパスすると、リポジトリの [セキュリティ] タブにアラートが表示されます。
ユーザーとして、GitHub でのお使いのアカウントの場合。この種のプッシュ保護は、"ユーザーのプッシュ保護" と呼ばれます。 GitHub でシークレットを_任意_のパブリックリポジトリにプッシュするのを防げますが、アラートは生成されません。

ヒント

プッシュ保護が有効かどうかに関係なく、GitHub Team と GitHub Enterprise の organization は、無料のレポートを実行して、組織内のコードで漏洩したシークレットをスキャンできます。また、このレポートでは、プッシュ保護によって防がれた可能性のある組織でのシークレット漏洩の数も示されます。「GitHub でのシークレットセキュリティについて」を参照してください。

プッシュ保護によってサポートされるシークレットとサービスプロバイダーの詳細については、「サポートされているシークレットスキャンパターン」を参照してください。

プッシュ保護にはいくつかの制限があります。詳しくは、「Troubleshooting secret scanning」をご覧ください。

プッシュ保護のしくみ

プッシュ保護は、次のもので検出されたシークレットをブロックします。

コマンドラインからのプッシュ。「コマンドラインからのプッシュ保護を操作する」を参照してください。
GitHub UI で行われたコミット。「GitHub UI でのプッシュ保護の操作」を参照してください。
GitHub のリポジトリへのファイルアップロード。
REST API への要求。「AUTOTITLE」を参照してください。
GitHub MCP サーバーとの対話 (パブリックリポジトリのみ)。「プッシュ保護と GitHub MCP サーバーの使用」を参照してください。

有効にした時点で、プッシュ試行中にプッシュ保護によって潜在的なシークレットが検出された場合、プッシュがブロックされ、ブロックの理由を説明する詳細なメッセージが表示されます。問題のコードを確認し、機密情報を削除して、プッシュを再試行する必要があります。

既定では、リポジトリへの書き込みアクセス権を持つすべてのユーザーは、テーブルに記載されているバイパスの理由のいずれかを指定することで、プッシュ保護をバイパスすることを選択できます。共同作成者がシークレットのプッシュ保護ブロックをバイパスする場合、GitHub では次のことが行われます。

リポジトリの [セキュリティ] タブでアラートを作成する。
監査ログにバイパスイベントを追加します。
リポジトリを監視している organization または個人用アカウントの所有者、セキュリティマネージャー、リポジトリ管理者に、シークレットへのリンクとそれが許可された理由を含むメールアラートを送信する。

次の表は、ユーザーがプッシュ保護ブロックをバイパスする方法ごとのアラートの動作を示しています。

バイパスの理由	アラート動作
It's used in tests (テストで使用)	GitHub は、"テストで使用" として解決されたクローズしたアラートを作成します
It's a false positive (偽陽性)	GitHub は、"偽陽性" として解決されたクローズしたアラートを作成します
I'll fix it later (後で修正)	GitHub は、オープンなアラートを作成します

どの共同作成者がプッシュ保護をバイパスできるか、シークレットなどプッシュを許可するかをより詳細に制御する必要がある場合は、プッシュ保護の委任されたバイパスを有効にすることができます。委任されたバイパスを使用すると、リポジトリにプッシュする共同作成者からのプッシュ保護をバイパスするように要求を監視および管理するように、指定されたレビュー担当者のグループを構成できます。詳しくは、「プッシュ保護のために委任されたバイパスについて」をご覧ください。

REST API を使用してプッシュ保護をバイパスすることもできます。詳細については、「シークレットスキャン用の REST API エンドポイント」を参照してください。

プッシュ保護の利点について

          **予防セキュリティ**: プッシュ保護は、プッシュ時にコードでシークレットがあるかスキャンすることで、最前線の防御メカニズムとして機能します。 この予防的アプローチは、リポジトリに統合される前に潜在的な問題を捉えるのに役立ちます。

          **即時のフィードバック**: プッシュ試行中に潜在的なシークレットが検出された場合、開発者には即座にフィードバックが届きます。 この即時通知により、迅速な修復が可能になり、機密情報が公開される可能性を低減します。

          **データ リークのリスクを軽減**: 機密情報を含むコミットをブロックすることで、プッシュ保護によって、偶発的にデータが漏洩するリスクが大幅に軽減されます。 これにより、インフラストラクチャ、サービス、およびデータへの不正アクセスを防ぐことができます。

          **効率的なシークレット管理**: 公開されたシークレットをさかのぼって処理する代わりに、開発者はソースで問題に対処できます。 これにより、シークレット管理の効率が向上し、消費時間も短縮されます。

          **カスタム パターン検出機能:** 組織は、環境に固有のシークレットを検出するためのカスタム パターンを定義できます。 このカスタマイズにより、プッシュ保護は標準以外のシークレットでも効果的に識別してブロックできるようになります。

          **柔軟性のためにバイパスを削除しました:** 誤検知が発生した場合、または特定のパターンが必要な場合、委任されたバイパス機能を使った場合、指定されたユーザーが特定のプッシュを承認できます。 これにより、全体的なセキュリティを損なうことなく、柔軟性を実現できます。

GitHub のすべてのユーザーは、各自の設定内でプッシュ保護を有効にすることもできます。ユーザーアカウントに対してプッシュ保護を有効にすると、GitHub のパブリックリポジトリにプッシュするたびに、そのリポジトリがプッシュ保護を有効にしていなくても、プッシュが保護されます。詳しくは、「ユーザーのプッシュ保護」をご覧ください。

        [AUTOTITLE](/code-security/secret-scanning/enabling-secret-scanning-features/enabling-push-protection-for-your-repository)

        [AUTOTITLE](/code-security/secret-scanning/working-with-secret-scanning-and-push-protection/working-with-push-protection-from-the-command-line)

        [AUTOTITLE](/code-security/secret-scanning/working-with-secret-scanning-and-push-protection/working-with-push-protection-in-the-github-ui)

        [AUTOTITLE](/code-security/secret-scanning/using-advanced-secret-scanning-and-push-protection-features/custom-patterns/defining-custom-patterns-for-secret-scanning)

        [AUTOTITLE](/code-security/secret-scanning/using-advanced-secret-scanning-and-push-protection-features/delegated-bypass-for-push-protection/about-delegated-bypass-for-push-protection)

プッシュ保護について

この機能を使用できるユーザーについて

この記事の内容