GitHubは、2022年12月に、すべてのパブリックリポジトリに対して、Secret scanningアラートのパブリックベータ版（https://github.blog/jp/2022-12-22-leaked-a-secret-check-your-github-alerts-for-free/）の提供開始を発表しました。ユーザーは使用しているすべてのリポジトリに対してSecret scanningアラートを有効化し、コード、Issue、説明文、コメントなどリポジトリの履歴全体にわたりシークレットの漏洩について通知を受け取ることができます。

リリース以降、7万ものパブリックリポジトリでSecret scanningアラートが有効化され、漏洩したシークレットのトリアージに大きく貢献しています。

GitHubのSecret scanningは、GitHubパートナープログラムに参加している100社以上のサービスプロバイダーと連携しており、シークレット漏洩時のユーザーへのアラート通知に加えて、パートナーへの通知も継続します。Secret scanningアラートを有効化すると、パートナーには通知できないアラート（例えば、セルフホスト型のキーが公開された場合など）が届くようになります。その際、アラートに対して取られたアクションの完全な監査ログも提供されます。

大規模なリスクが完全に可視化
DevOpsコンサルタント兼トレーナーである@rajbos（https://github.com/rajbos）は、約14,000のリポジトリに対してSecret scanningを有効化し、1,000件を超えるシークレットを発見しました。

Robは次のように述べています。「私自身の実体験から、なぜ、すべての人がSecret scanningを有効にすべきか証明されました。14,000のパブリックGitHub Actionリポジトリを調査したところ、1,000件以上のシークレットを発見したのです。私自身が多くの人にGitHub Advanced Securityの使い方についてトレーニングを行ってきたにも関わらず、今回の調査で自身のリポジトリにシークレットがあることがわかりました。この業界での経験は浅くないにも関わらず、自分自身にも起きていました。それくらい、意図せずシークレットを含めてしまうことがあるということです。Secret scanningを有効にしておくと、シークレットに関する通知が届きます。パートナーが自動で取り消しを行うことにより、コードの安全性が少し高まります」

Robの経験の全容については、下記ブログ記事から、ご確認いただけます。
https://devopsjournal.io/blog/2023/01/22/Making-the-case-for-secret-scanning

ワンクリックで有効化が可能
パブリックリポジトリの所有者や管理者であれば、誰でもSecret scanningアラートを有効化できます。企業の管理者やOrganizationのオーナーは、複数のリポジトリに対して一括で有効化できます。有効化するには、[設定] タブに移動して、[セキュリティ] の下にある [コードのセキュリティと分析] をクリックし、[Secret scanning] の横にある [有効] をクリックしてください。