secret-scanning
GitHub のシークレットスキャン設定・管理、プッシュ保護、カスタムパターン定義、アラート対応をガイドするスキルです。GitHub MCP Server を経由した AIコーディングエージェントによるコミット前スキャンには、Advanced Security プラグイン(`advanced-security@copilot-plugins`)を参照します。シークレットスキャンの有効化、プッシュ保護のセットアップ、カスタムパターンの定義、アラートのトリアージ、ブロックされたプッシュの解消、またはエージェントがコミット前にコードをスキャンする必要がある場合に使用してください。
description の原文を見る
Guide for configuring and managing GitHub secret scanning, push protection, custom patterns, and secret alert remediation. For pre-commit secret scanning in AI coding agents via the GitHub MCP Server, this skill references the Advanced Security plugin (`advanced-security@copilot-plugins`). Use this skill when enabling secret scanning, setting up push protection, defining custom patterns, triaging alerts, resolving blocked pushes, or when an agent needs to scan code for secrets before committing.
SKILL.md 本文
Secret Scanning
このスキルは、GitHub secret scanningの設定 — 漏洩認証情報の検出、シークレットpushの防止、カスタムパターンの定義、アラート管理 — に関する手順ガイダンスを提供します。
このスキルを使用する場合
次の内容に関する要求が含まれる場合、このスキルを使用してください:
- リポジトリまたは組織のシークレットスキャンの有効化または設定
- シークレットがリポジトリに到達する前にブロックするためのpush protectionの設定
- 正規表現を使用したカスタムシークレットパターンの定義
- コマンドラインからのブロックされたpushの解決
- シークレットスキャンアラートのトリアージ、却下、または修復
- push protectionの委任バイパスの設定
secret_scanning.ymlによるシークレットスキャンからのディレクトリの除外- アラートタイプ(ユーザー、パートナー、push protection)の理解
- 有効性チェックまたは拡張メタデータチェックの有効化
- コミット前のローカルコード変更のシークレットスキャン(MCP / AIコーディングエージェント経由)— 推奨プラグインについては、下記の AI Coding Agents経由のPre-Commit Scanning セクションを参照してください
Secret Scanningの仕組み
Secret scanningは、以下全体にわたって公開された認証情報を自動的に検出します:
- すべてのブランチの完全なGitヒストリ
- Issue説明、コメント、タイトル(オープンおよびクローズ済み)
- Pull requestのタイトル、説明、コメント
- GitHub Discussionsのタイトル、説明、コメント
- WikiおよびシークレットGist
利用可能性
| リポジトリタイプ | 利用可能性 |
|---|---|
| パブリックリポジトリ | 自動、無料 |
| プライベート/内部(組織所有) | GitHub Secret Protection on Team/Enterprise Cloudが必須 |
| ユーザー所有 | Enterprise Managed Usersを備えたEnterprise Cloud |
コアワークフロー — Secret Scanningの有効化
ステップ1:Secret Protectionを有効化
- リポジトリの Settings → Advanced Security に移動
- "Secret Protection" の隣の Enable をクリック
- Enable Secret Protection をクリックして確認
組織の場合は、セキュリティ設定を使用して大規模に有効化します:
- Settings → Advanced Security → Global settings → Security configurations
ステップ2:Push Protectionを有効化
Push protectionは、push処理中にシークレットをブロック — リポジトリに到達する前にブロック。
- リポジトリの Settings → Advanced Security に移動
- Secret Protectionの下で "Push protection" を有効化
Push protectionは以下をブロック:
- コマンドラインpush
- GitHub UIコミット
- ファイルアップロード
- REST APIリクエスト
- REST APIコンテンツ作成エンドポイント
ステップ3:除外を設定(オプション)
.github/secret_scanning.yml を作成して、特定のディレクトリのアラートを自動クローズ:
paths-ignore:
- "docs/**"
- "test/fixtures/**"
- "**/*.example"
制限:
paths-ignoreの最大エントリ数:1,000- ファイルサイズ:1 MB以下
- 除外パスはpush protectionチェックもスキップ
ベストプラクティス:
- 除外パスは可能な限り具体的に
- 各パスが除外される理由の説明をコメントで追加
- 除外を定期的に見直し — 古いエントリを削除
- セキュリティチームに除外について通知
ステップ4:追加機能を有効化(オプション)
非プロバイダパターン — 秘密鍵、接続文字列、汎用APIキーを検出:
- Settings → Advanced Security → "Scan for non-provider patterns" を有効化
AI駆動の汎用シークレット検出 — Copilotを使用してパスワードのような非構造化シークレットを検出:
- Settings → Advanced Security → "Use AI detection" を有効化
有効性チェック — 検出されたシークレットがまだアクティブかどうかを確認:
- Settings → Advanced Security → "Validity checks" を有効化
- GitHubは定期的にプロバイダAPIに対して検出された認証情報をテスト
- ステータスはアラートに表示:
active、inactive、またはunknown
拡張メタデータチェック — シークレットの所有者に関する追加コンテキスト:
- 有効性チェックが最初に有効化されている必要があります
- 修復の優先順位付けと責任チームの特定に役立ちます
コアワークフロー — ブロックされたPushを解決
Push protectionがコマンドラインからpushをブロックした場合:
オプションA:シークレットを削除
シークレットが最新のコミットにある場合:
# ファイルからシークレットを削除
# その後、コミットを修正
git commit --amend --all
git push
シークレットが以前のコミットにある場合:
# シークレットを含む最初のコミットを見つける
git log
# そのコミット前で対話的リベースを開始
git rebase -i <COMMIT-ID>~1
# 問題のあるコミットについて 'pick' を 'edit' に変更
# シークレットを削除して、以下を実行:
git add .
git commit --amend
git rebase --continue
git push
オプションB:Push Protectionをバイパス
- pushエラーメッセージで返されたURLにアクセス(同一ユーザーとして)
- バイパスの理由を選択:
- It's used in tests — アラートが作成され自動クローズ
- It's a false positive — アラートが作成され自動クローズ
- I'll fix it later — オープンアラートが作成
- Allow me to push this secret をクリック
- 3時間以内に再pushを実行
オプションC:バイパス権限をリクエスト
委任バイパスが有効で、バイパス権限がない場合:
- pushエラーからURLにアクセス
- シークレットが安全である理由を説明するコメントを追加
- Submit request をクリック
- 承認/拒否の通知メールを待つ
- 承認された場合はコミットをpush;拒否された場合はシークレットを削除
詳細なバイパスおよび委任バイパスワークフローについては、
references/push-protection.mdを検索してください。
カスタムパターン
正規表現を使用して組織固有のシークレットパターンを定義します。
クイックセットアップ
- Settings → Advanced Security → Custom patterns → New pattern
- パターン名とシークレット形式のregexを入力
- サンプルテスト文字列を追加
- Save and dry run をクリックしてテスト(最大1,000件の結果)
- 誤検知の結果を確認
- Publish pattern をクリック
- オプションでパターンのpush protectionを有効化
スコープ
カスタムパターンは以下で定義できます:
- リポジトリレベル — そのリポジトリのみに適用
- 組織レベル — secret scanningが有効化されたすべてのリポジトリに適用
- エンタープライズレベル — すべての組織全体に適用
Copilot支援パターン生成
Copilotシークレットスキャンを使用して、シークレットタイプのテキスト説明からregexを生成(オプションでサンプル文字列を含む)。
詳細なカスタムパターン設定については、
references/custom-patterns.mdを検索してください。
アラート管理
アラートタイプ
| タイプ | 説明 | 表示 |
|---|---|---|
| ユーザーアラート | リポジトリで見つかったシークレット | セキュリティタブ |
| Push protectionアラート | バイパス経由でpushされたシークレット | セキュリティタブ(フィルタ:bypassed: true) |
| パートナーアラート | プロバイダに報告されたシークレット | リポジトリに表示されない(プロバイダのみ) |
アラートリスト
- デフォルトアラート — サポートされているプロバイダパターンおよびカスタムパターン
- 汎用アラート — 非プロバイダパターンおよびAI検出シークレット(リポジトリあたり5,000件に限定)
修復の優先順位
- 認証情報を即座にローテーション — これが重要なアクション
- 文脈についてアラートを確認(位置、コミット、作成者)
- 有効性ステータスを確認:
active(緊急)、inactive(低優先度)、unknown - 必要に応じてGitヒストリから削除(時間がかかり、ローテーション後は不要なことが多い)
アラートを却下
文書化された理由で却下:
- False positive — 検出された文字列は実際のシークレットではない
- Revoked — 認証情報は既にリボーク済み
- Used in tests — シークレットはテストコードのみに存在
詳細なアラートタイプ、有効性チェック、REST APIについては、
references/alerts-and-remediation.mdを検索してください。
AI Coding Agents経由のPre-Commit Scanning
AIコーディングエージェント内でコミット前にコード変更のシークレットをスキャンするには、run_secret_scanning MCPツールと専用スキャンスキルを提供する Advanced Securityプラグイン をインストール。
GitHub Copilot CLI:
/plugin install advanced-security@copilot-plugins
Visual Studio Code:
- Copilot Chatで Chat: Plugins を開く(または
@agentPluginsを使用)して、advanced-securityプラグインをインストール - その後、Copilot Chatで
/secret-scanningを実行
参照:Advanced Security Plugin — Secret Scanning Skill
Secret scanning in AI coding agents via the GitHub MCP Server (2026年3月)での発表
リファレンスファイル
詳細なドキュメントについては、必要に応じて以下のリファレンスファイルを読み込んでください:
references/push-protection.md— Push protection機構、バイパスワークフロー、委任バイパス、ユーザーpush protection- 検索パターン:
bypass、delegated、bypass request、command line、REST API、user push protection
- 検索パターン:
references/custom-patterns.md— カスタムパターン作成、正規表現構文、dry run、Copilot正規表現生成、スコープ- 検索パターン:
custom pattern、regex、dry run、publish、organization、enterprise、Copilot
- 検索パターン:
references/alerts-and-remediation.md— アラートタイプ、有効性チェック、拡張メタデータ、汎用アラート、シークレット削除、REST API- 検索パターン:
user alert、partner alert、validity、metadata、generic、remediation、git history、REST API
- 検索パターン:
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- github
- ライセンス
- MIT
- 最終更新
- 不明
Source: https://github.com/github/awesome-copilot / ライセンス: MIT
関連スキル
agent-browser
AI エージェント向けのブラウザ自動化 CLI です。ウェブサイトとの対話が必要な場合に使用します。ページ遷移、フォーム入力、ボタンクリック、スクリーンショット取得、データ抽出、ウェブアプリのテスト、ブラウザ操作の自動化など、あらゆるブラウザタスクに対応できます。「ウェブサイトを開く」「フォームに記入する」「ボタンをクリックする」「スクリーンショットを取得する」「ページからデータを抽出する」「このウェブアプリをテストする」「サイトにログインする」「ブラウザ操作を自動化する」といった要求や、プログラマティックなウェブ操作が必要なタスクで起動します。
anyskill
AnySkill — あなたのプライベート・スキルクラウド。GitHubを基盤としたリポジトリからエージェントスキルを管理、同期、動的にロードできます。自然言語でクラウドスキルを検索し、オンデマンドでプロンプトを自動ロード、カスタムスキルのアップロードと共有、スキルバンドルの一括インストールが可能です。OpenClaw、Antigravity、Claude Code、Cursorに対応しています。
engram
AIエージェント向けの永続的なメモリシステムです。バグ修正、意思決定、発見、設定変更の後はmem_saveを使用してください。ユーザーが「覚えている」「記憶している」と言及した場合、または以前のセッションと重複する作業を開始する際はmem_searchを使用します。セッション終了前にmem_session_summaryを使用して、コンテキストを保持してください。
skyvern
AI駆動のブラウザ自動化により、任意のウェブサイトを自動化できます。フォーム入力、データ抽出、ファイルダウンロード、ログイン、複数ステップのワークフロー実行など、ユーザーがウェブサイトと連携する必要があるときに使用します。Skyvernは、LLMとコンピュータビジョンを活用して、未知のサイトも自動操作可能です。Python SDK、TypeScript SDK、REST API、MCPサーバー、またはCLIを通じて統合できます。
pinchbench
PinchBenchベンチマークを実行して、OpenClawエージェントの実世界タスクにおけるパフォーマンスを評価できます。モデルの機能テスト、モデル間の比較、ベンチマーク結果のリーダーボード提出、またはOpenClawのセットアップがカレンダー、メール、リサーチ、コーディング、複数ステップのワークフローにどの程度対応しているかを確認する際に使用します。
openui
OpenUIとOpenUI Langを使用してジェネレーティブUIアプリを構築できます。これらはLLM生成インターフェースのためのトークン効率的なオープン標準です。OpenUI、@openuidev、ジェネレーティブUI、LLMからのストリーミングUI、AI向けコンポーネントライブラリ、またはjson-render/A2UIの置き換えについて述べる際に使用します。スキャフォルディング、defineComponent、システムプロンプト、Renderer、およびOpenUI Lang出力のデバッグに対応しています。