正式なドキュメントは英語版であり、この日本語訳はAI支援翻訳により作成された参考用のものです。日本語訳の一部の内容は人間によるレビューがまだ行われていないため、翻訳のタイミングにより英語版との間に差異が生じることがあります。最新かつ正確な情報については、英語版をご参照ください。

シークレット検出の誤検出判定

  • プラン: Ultimate
  • アドオン: GitLab Duo Core、Pro、またはEnterprise
  • 提供形態: GitLab.com、GitLab Self-Managed、GitLab Dedicated
  • ステータス: ベータ版

シークレット検出のスキャンが実行されると、GitLab Duoは検出された各シークレットを自動的に分析し、それが誤検出である可能性を判断します。GitLabシークレット検出で検出されたすべてのシークレットタイプで検出が可能です。

GitLab Duoの評価には、各誤検出結果に関する情報が含まれます:

  • 信頼度スコア: 結果が誤検出である可能性を示す数値スコア。
  • 説明: コードのコンテキストとシークレットの特性に基づいて、結果が真の陽性であるかどうかの理由。
  • ビジュアルインジケーター: 脆弱性レポート内のバッジで、誤検出の評価が表示されます。

シークレット検出の誤検出判定は、手動での介入なしに各セキュリティスキャン後に自動的に実行されます。

結果はAIによる分析に基づいており、セキュリティ担当者によるレビューが必要です。この機能を使用するには、アクティブなサブスクリプションのGitLab Duoが必要です。

自動検出

誤検出判定は、次のシナリオで自動的に実行されます:

  • シークレット検出スキャンがデフォルトブランチで正常に完了します。
  • スキャンがシークレットを検出します。
  • GitLab Duo機能がプロジェクトで有効になっている。

分析はバックグラウンドで実行され、処理が完了すると脆弱性レポートに結果が表示されます。

手動トリガー

既存の脆弱性に対して、手動で誤検出判定を実行できます:

  1. 上部のバーで、検索または移動先を選択して、プロジェクトを見つけます。
  2. セキュリティ > 脆弱性レポートを選択します。
  3. 分析する脆弱性を選択します。
  4. 右上隅で、誤検知のチェックを選択して、誤検出判定をトリガーします。

GitLab Duoの分析が実行され、結果は脆弱性の詳細ページに表示されます。

設定

誤検出判定を使用するには、次の要件を満たす必要があります:

誤検出判定を有効にする

誤検出判定は、デフォルトでオフになっています。この機能を使用するには、グループに対して基本フローを有効にし、プロジェクトに対して機能をオンにする必要があります。

グループの基本フローを許可する

グループ内のすべてのプロジェクトが基本フローを使用できるように許可できます。個々のプロジェクトでは、引き続きプロジェクトの設定で機能を有効にする必要があります。グループ内のすべてのプロジェクトに対して誤検出判定を許可するには:

  1. 左サイドバーで、検索または移動先を選択し、グループを見つけます。
  2. 設定 > GitLab Duoを選択します。
  3. 基本フローを許可の下で、シークレット検出の誤検出チェックボックスを選択します。
  4. 変更を保存を選択します。

プロジェクトでオンにする

特定のプロジェクトに対して誤検出判定をオンにするには:

  1. 左サイドバーで、検索または移動先を選択し、プロジェクトを見つけます。
  2. 設定 > 一般を選択します。
  3. GitLab Duoを展開します。
  4. Turn on secret detection false positive detection切替をオンにします。
  5. 変更を保存を選択します。

グループに対して誤検出判定を許可し、プロジェクトに対してそれをオンにすると、既存のシークレット検出スキャナーで機能が自動的に動作します。

信頼度スコア

信頼度スコアは、GitLab Duoの評価がどの程度正しいかの推定値です:

  • 誤検出の可能性が高い(80-100%): GitLab Duoは、検出結果が誤検出である可能性が非常に高いと判断しています。
  • 誤検出の可能性がある(60-79%): GitLab Duoは、検出結果が誤検出である可能性があると一定の確信を持っていますが、手動での確認を推奨します。
  • 誤検出ではない可能性が高い(<60%): GitLab Duoは、検出結果が誤検出であるとは考えていません。脆弱性を無視する前に、手動での確認を強く推奨します。

誤検出を無視する

GitLab Duoの分析で脆弱性が誤検出として特定された場合、次のオプションがあります:

  • 脆弱性を無視する
  • 誤検出フラグを削除

脆弱性を無視する

  1. 上部のバーで、検索または移動先を選択して、プロジェクトを見つけます。
  2. セキュリティ > 脆弱性レポートを選択します。
  3. 無視する脆弱性を選択します。
  4. ステータスを変更を選択します。
  5. ステータスドロップダウンリストから、却下済みを選択します。
  6. Set dismissal reasonドロップダウンリストから、偽陽性を選択します。
  7. コメントの追加入力で、誤検出として無視する理由に関するコンテキストを提供します。
  8. ステータスを変更を選択します。

脆弱性は無視としてマークされ、再導入されない限り、将来のスキャンには表示されません。

誤検出フラグを削除する

誤検出の評価を削除して、脆弱性を保持する場合は、以下の手順に従います:

  1. 上部のバーで、検索または移動先を選択して、プロジェクトを見つけます。
  2. セキュリティ > 脆弱性レポートを選択します。
  3. 誤検出フラグが付いた脆弱性を見つけます。
  4. 脆弱性の誤検出バッジにカーソルを合わせます。
  5. 誤検出フラグを削除するを選択します。

誤検出フラグが削除され、FP信頼度スコアが0に戻ります。脆弱性はレポートに残っており、将来のスキャンで再評価できます。

フィードバックを提供する

誤検出判定はベータ機能です。フィードバックをお待ちしております。問題が発生した場合、または改善の提案がある場合は、イシュー592861でフィードバックをお寄せください。