シークレットスキャン更新 - 2026 年 6 月版
GitHub は Secret Scanning の検出対象を大幅に拡大し、デフォルトでプッシュ保護が有効となるパターンを追加するとともに、漏洩した機密情報の有効性を判定する機能を導入しました。
キーポイント
検出対象の大幅拡充と新規パートナー追加
Cloudsmith や Meraki など 2 つの新規パートナーに加え、Elastic、Slack、Supabase、VolcEngine などの主要サービスや、GitLab の各種トークンに対する検出が自動化されました。
プッシュ保護のデフォルト設定強化
Cloudflare、Cockroach Labs、Flutterwave など 10 以上の重要プロバイダーにおける機密キーが、リポジトリ設定の有無に関わらずデフォルトでプッシュブロックされるようになりました。
機密情報の有効性判定機能の導入
Alibaba や Azure の主要なアクセスキーなどに対し、検出時に情報がまだ有効かどうかを判定する機能が追加され、優先度の高い修復対応が可能になりました。
新しいシークレット検出パターンの追加
Salesforce および Shopify の各種アクセストークン、Airtable、Grafana、npm、xAI など、複数のサービスにおける新たなシークレットタイプが検出対象に追加されました。
拡張メタデータ機能の導入
シークレットを検出した際、より豊富な文脈情報を提供する拡張メタデータが含まれるようになりました。
影響分析・編集コメントを表示
影響分析
このアップデートは、開発者が手動で検出ルールを設定する負担を大幅に軽減し、クラウドネイティブ環境における機密情報の漏洩リスクを即時的に低減します。特に有効性判定機能の追加により、セキュリティチームは膨大なアラートの中から実害のある事象を見極めるコストを削減でき、インシデント対応の効率化が期待されます。
編集コメント
今回のアップデートは、セキュリティ設定の「手動管理」から「自動防御」への転換を加速させる重要な一歩です。特に有効性判定機能は、アラート疲労(Alert Fatigue)に悩む開発者にとって即効性のある解決策となるでしょう。
前回のパターン更新以降、シークレットスキャンの検出カバレッジを拡大し、新しいパートナーを追加し、プッシュ保護によってデフォルトでブロックされるパターンを増やし、有効性チェックを追加し、漏洩したシークレットに関する詳細なメタデータを強化しました。
追加された検出器
シークレットスキャンは現在、リポジトリ内で以下の新しいシークレットタイプを自動的に検出します。今回のリリースでは、Cloudsmith と Meraki の 2 つの新しいパートナーが加わり、GitLab トークンのカバレッジが大幅に拡大され、Elastic、Slack、Supabase、DataDog、VolcEngine 向けの検出器が追加されました。
プロバイダー
シークレットタイプ
Cloudsmith
cloudsmith_api_key
Datadog
datadog_pat
Datadog
datadog_sat
Elastic
elastic_stack_api_key
GitLab
gitlab_ci_build_token
GitLab
gitlab_deploy_token
GitLab
gitlab_feature_flag_client_token
GitLab
gitlab_feed_token_v2
GitLab
gitlab_incoming_email_token
GitLab
gitlab_kubernetes_agent_token
GitLab
gitlab_oauth_app_secret
GitLab
gitlab_pipeline_trigger_token
GitLab
gitlab_runner_auth_token
GitLab
gitlab_runner_registration_token
GitLab
gitlab_scim_oauth_token
Meraki
meraki_api_key
Slack
slack_workflow_trigger_url
Supabase
supabase_oauth_access_token
Supabase
supabase_scoped_personal_access_token
VolcEngine
volcengine_ark_api_key
パートナーシークレットは、シークレスキャンパートナーシッププログラムを通じて公開リポジトリ内で発見された場合、自動的にシークレット発行者に報告されます。
ユーザーシークレットは、公開またはプライベートのリポジトリ内で発見された場合に、シークレットスキャンアラートを生成します。
以下の検出器は、プッシュ保護のデフォルト設定に追加されました。シークレットスキャンが有効化されているリポジトリ(無料のパブリックリポジトリを含む)では、これらのシークレットを含むコミットが自動的にブロックされます。
プロバイダー
シークレットタイプ
Cloudflare
cloudflare_account_api_token
Cloudflare
cloudflare_global_user_api_key
Cloudflare
cloudflare_user_api_token
Cockroach Labs
ccdb_api_key
Flutterwave
flutterwave_test_api_secret_key
Hack Club
hackclub_ai_api_key
OpenRouter
openrouter_api_key
PostHog
posthog_oauth_refresh_token
Supabase
supabase_personal_access_token
デフォルトで有効化されていないパターンは、プッシュ保護設定で引き続き構成可能です。
有効性チェックの追加
これらのパターンでは現在、有効性チェックがサポートされており、アラートにより漏洩した認証情報がまだ有効かどうかを通知し、修復作業の優先順位付けを支援します。
プロバイダー
シークレットタイプ
Alibaba
alibaba_cloud_access_key_id
Alibaba
alibaba_cloud_access_key_secret
Azure
azure_ai_services_key
Azure
azure_anomaly_detector_ee_key
Azure
azure_anomaly_detector_key
Azure
azure_cognitive_services_key
Azure
azure_content_moderator_key
Azure
azure_cosmosdb_key_identifiable
Azure
azure_custom_vision_prediction_key
Azure
azure_custom_vision_training_key
Azure
azure_event_hub_key_identifiable
Azure
azure_function_key
Azure
azure_relay_key_identifiable
Azure
azure_service_bus_identifiable
Azure
azure_storage_account_key
Azure
azure_text_translation_key
Coveo
coveo_access_token
Coveo
coveo_api_key
Databricks
databricks_access_token
Salesforce
salesforce_access_token
Shopify
shopify_access_token
Shopify
shopify_custom_app_access_token
Shopify
shopify_merchant_token
Shopify
shopify_private_app_password
拡張メタデータサポート
これらのパターンは、検出時に拡張メタデータを含むようになり、漏洩したシークレットに関するより豊富なコンテキストを提供します。
プロバイダー
シークレットタイプ
Airtable
airtable_api_key
Airtable
airtable_personal_access_token
Grafana
grafana_cloud_api_token
npm
npm_access_token
xAI
xai_api_key
詳細はこちら
シークレットスキャンの詳細や、サポートされているシークレットの完全なリストについては、当社のドキュメントをご覧ください。コミュニティディスカッションでのご意見をお聞かせください。
本記事「Secret scanning updates – June 2026」は、最初に The GitHub Blog で公開されました。
原文を表示
Since our last pattern update, we’ve expanded secret scanning’s detection coverage with new partners, more patterns blocked by push protection by default, additional validity checks, and richer metadata for leaked secrets.
Detectors added
Secret scanning now automatically detects the following new secret types in your repositories. This release adds two new partners (Cloudsmith and Meraki), significantly expands GitLab token coverage, and adds detectors for Elastic, Slack, Supabase, DataDog, and VolcEngine.
Provider
Secret type
Cloudsmith
cloudsmith_api_key
Datadog
datadog_pat
Datadog
datadog_sat
Elastic
elastic_stack_api_key
GitLab
gitlab_ci_build_token
GitLab
gitlab_deploy_token
GitLab
gitlab_feature_flag_client_token
GitLab
gitlab_feed_token_v2
GitLab
gitlab_incoming_email_token
GitLab
gitlab_kubernetes_agent_token
GitLab
gitlab_oauth_app_secret
GitLab
gitlab_pipeline_trigger_token
GitLab
gitlab_runner_auth_token
GitLab
gitlab_runner_registration_token
GitLab
gitlab_scim_oauth_token
Meraki
meraki_api_key
Slack
slack_workflow_trigger_url
Supabase
supabase_oauth_access_token
Supabase
supabase_scoped_personal_access_token
VolcEngine
volcengine_ark_api_key
Partner secrets are automatically reported to the secret issuer when found in public repositories through the secret scanning partnership program.
User secrets generate secret scanning alerts when found in public or private repositories.
Push protection defaults expanded
The following detectors are now included in push protection by default. Repositories with secret scanning enabled, including free public repositories, will have commits containing these secrets automatically blocked.
Provider
Secret type
Cloudflare
cloudflare_account_api_token
Cloudflare
cloudflare_global_user_api_key
Cloudflare
cloudflare_user_api_token
Cockroach Labs
ccdb_api_key
Flutterwave
flutterwave_test_api_secret_key
Hack Club
hackclub_ai_api_key
OpenRouter
openrouter_api_key
PostHog
posthog_oauth_refresh_token
Supabase
supabase_personal_access_token
Patterns that are not yet enabled by default remain configurable in your push protection settings.
Validity checks added
These patterns now support validity checks, so alerts tell you whether a leaked credential is still active and help you prioritize remediation.
Provider
Secret type
Alibaba
alibaba_cloud_access_key_id
Alibaba
alibaba_cloud_access_key_secret
Azure
azure_ai_services_key
Azure
azure_anomaly_detector_ee_key
Azure
azure_anomaly_detector_key
Azure
azure_cognitive_services_key
Azure
azure_content_moderator_key
Azure
azure_cosmosdb_key_identifiable
Azure
azure_custom_vision_prediction_key
Azure
azure_custom_vision_training_key
Azure
azure_event_hub_key_identifiable
Azure
azure_function_key
Azure
azure_relay_key_identifiable
Azure
azure_service_bus_identifiable
Azure
azure_storage_account_key
Azure
azure_text_translation_key
Coveo
coveo_access_token
Coveo
coveo_api_key
Databricks
databricks_access_token
Salesforce
salesforce_access_token
Shopify
shopify_access_token
Shopify
shopify_custom_app_access_token
Shopify
shopify_merchant_token
Shopify
shopify_private_app_password
Extended metadata support
These patterns now include extended metadata when detected, providing richer context about leaked secrets.
Provider
Secret type
Airtable
airtable_api_key
Airtable
airtable_personal_access_token
Grafana
grafana_cloud_api_token
npm
npm_access_token
xAI
xai_api_key
Learn more
Learn more about secret scanning and see the full list of supported secrets in our documentation. Let us know what you think in the community discussion.
The post Secret scanning updates – June 2026 appeared first on The GitHub Blog.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み