トークンスキャンニングについて
GitHub はパブリックリポジトリをスキャンして既知のトークンフォーマットを探し、誤ってコミットされたクレデンシャルが不正に利用されることを防ぎます。
パブリックリポジトリにコミットをプッシュした場合、あるいはプライベートリポジトリをパブリックに切り替えた場合、GitHub はコミットあるいはリポジトリの内容をスキャンして、以下のサービスプロバイダが発行したトークンを探します。
- Alibaba Cloud
- Amazon Web Services (AWS)
- Atlassian
- Azure
- CloudBees CodeShip
- Discord
- Dropbox
- GitHub
- GoCardless
- Google Cloud
- Hashicorp Terraform
- Mailgun
- npm
- Postman
- Proctorio
- Pulumi
- Slack
- Stripe
- Tencent Cloud
- Twilio
GitHub がクレデンシャル群を検出すると、弊社はそのトークンを発行したサービスプロバイダに通知します。 サービスプロバイダはクレデンシャルを検証し、あなたやサービスプロバイダに関連するリスクに応じて、トークンを削除するか、新たなトークンを発行するか、それともあなたに直接連絡を取るかを決定します。
サービスプロバイダは、GitHub と連携して、スキャンのためにトークンを提供する場合があります。 詳細は GitHub 開発者ドキュメンテーション 内の「トークンスキャニング」を参照してください。