GitHubは、シークレットスキャンの検出タイプ(ディテクタータイプ)の呼び名を変更しました。名称の変更のみで検出の挙動はこれまでと変わらず、各タイプが何をどう検出するのかが名前から分かりやすくなります。
シークレットスキャン名称変更の3行まとめ
今回の発表の要点を、先に3点へ整理しておきましょう。
- GitHubがシークレットスキャンの検出タイプの名称を変更
- 2つの検出タイプ名をより分かりやすい表記へ刷新
- 名称の変更のみで検出の挙動・REST API・監査ログに変更なし
本記事は公表時点の情報にもとづきます。仕様や提供状況、料金は変わる可能性があります。
導入や利用の判断は各自の責任で公式情報の最新の内容をご確認ください。設定変更やアップデートを行う場合は、必ず事前にバックアップを取得し、検証環境で確認したうえで実施してください。
何が変わったのか(検出タイプの新旧名称)
GitHubのシークレットスキャンは、コードや設定ファイルに紛れ込んだ認証情報(シークレット)を見つける機能です。今回変わったのは、その「検出タイプ」を指す2つの呼び名です。
新旧の名称の対応を、次の表にまとめます。
| 旧名称 | 新名称 | 意味するもの |
|---|---|---|
| Non-provider patterns | Generic patterns(ジェネリックパターン) | 特定プロバイダーに紐づかないシークレットを、パターンで検出するタイプ |
| Copilot secret scanning | AI-detected secrets(AI検出シークレット) | AIを使って予測しづらい形式のシークレットを検出するタイプ |
「ジェネリックパターン」は、旧称の「Non-provider(非プロバイダー)」という言い回しよりも、対象が特定プロバイダーに依存しない汎用的なシークレットである点を素直に表しています。「AI検出シークレット」は、旧称の「Copilot」という製品名を外し、AIで検出しているという検出方法そのものを名前に据えた形です。
いずれも、名前を見れば何をどう検出するタイプなのかが伝わるようにする狙いです。
シークレットの分類と検出方式のしくみ
今回の名称整理の背景を理解するには、GitHubがシークレットを2つに分類し、検出方式も2種類に分けて考えている点を押さえると分かりやすくなります。まず、シークレットの分類は次の2つです。
- プロバイダーシークレット: 特定サービスが発行する認証情報
- ジェネリックシークレット: 特定プロバイダーに紐づかない認証情報
プロバイダーシークレットは、AWSキーやStripeトークンのように特定のサービスが発行するため、認識しやすい構造を持ちます。一方のジェネリックシークレットは、特定のサービスプロバイダーに紐づかないシークレットで、秘密鍵や接続文字列のように構造を持つものから、パスワードのように形式が定まらないものまで幅があります。
この構造のあり・なしが、次に挙げる検出方式の使い分けにつながります。
検出方式は、次の2種類に分かれます。
- パターン検出: 正規表現+エントロピー分析などの決定論的な検出
- AIによる検出: 予測しづらい形式のシークレットをAIで検出
パターン検出は、正規表現に加えてエントロピー分析などの追加チェックを組み合わせて判定する決定論的な方式です。プロバイダーシークレットに加え、秘密鍵や接続文字列のように構造を持つジェネリックシークレットも、この方式で検出します。
これに対しAIによる検出は、パスワードのように予測可能な形式を持たない一部のジェネリックシークレットを、AIを使って検出します。この方式を担う検出タイプが、今回「AI検出シークレット」へと改称されました。
このセクションの用語
- シークレット
- APIキーやトークン、パスワード、秘密鍵など、外部に漏らしてはいけない認証情報の総称。
- エントロピー分析
- 文字列のランダムさ(乱雑さ)の度合いを数値化し、正規表現などの条件と組み合わせて鍵やトークンらしさを評価する追加チェックの一つ。
どのシークレットがどの方式で検出されるかは、GitHubが公開する対応パターンの一覧で確認できます。詳細はシークレットスキャンの対応パターン一覧(公式)を参照してください。
変わらないこと(検出の挙動・REST API)
今回の発表でおさえておきたいのは、これが名称の変更に過ぎない点です。GitHubは「名称の変更のみで、検出の挙動はまったく同じ(a naming change only; detection behavior is exactly the same)」と明言しています。
呼び名が変わっても、これまで検出できていたシークレットが検出されなくなったり、新たに検出されるようになったりする、といった検出の挙動の変化はありません。
連携や自動化に使う仕組みも、そのまま維持されます。GitHubは、webhookイベント、監査ログイベント、REST APIのいずれにも変更はないとしています。
したがって、webhookイベントや監査ログイベント、REST APIの仕様に依存する連携であれば、今回の名称変更だけを理由に作り直す必要はありません。シークレットスキャンの全体像はシークレットスキャンの概要(公式)で確認できます。
一方で、画面やドキュメント上に表示される名称を直接読み取っている独自処理については、旧名称への依存がないか個別に確認しておくと安心です。
ドキュメント面でも、既存の製品ドキュメントのリンクはすべて有効なままです。GitHubはリダイレクトを追加し、用語も更新済みだと説明しています。
ブックマークや社内手順書に貼った既存のドキュメントリンクは、そのまま使い続けられます。
今回の変更の概要
今回の発表の要点を、次の表に整理します。
| 項目 | 詳細 |
|---|---|
| 提供元 | GitHub |
| 発表日 | 2026年7月10日 |
| 対象機能 | シークレットスキャン(検出タイプの名称) |
| 変更内容 | 検出タイプ2種の名称を刷新(新旧対応は本文の表を参照) |
| 検出の挙動 | 変更なし(名称の変更のみ) |
| API・監査ログ | webhook・監査ログ・REST APIに変更なし |
trends編集部の一言
名称変更はニュースとしては地味ですが、シークレットスキャンを運用しているチームには関係する更新です。社内ドキュメントやレポートで「Non-provider patterns」「Copilot secret scanning」という旧称を使っている場合は、新しい名称へ読み替えておくと混乱を防げます。
一方で、検出の挙動やREST API、監査ログイベントは変わらないため、これらの仕様に依存する連携をあわてて改修する必要はありません。今回の変更は「見え方の整理」であり、シークレットを2つの分類(プロバイダー/ジェネリック)と2つの検出方式(パターン/AI)で捉えるGitHubの考え方を、名前からたどりやすくした更新だと捉えておくとよいでしょう。
References
- GitHub. 「Clearer names for secret scanning detector types」. https://github.blog/changelog/2026-07-10-clearer-names-for-secret-scanning-detector-types, (参照 26-07-12).
- GitHub Docs. 「About secret scanning」. https://docs.github.com/code-security/secret-scanning/introduction/about-secret-scanning, (参照 26-07-12).
- GitHub Docs. 「Supported secret scanning patterns」. https://docs.github.com/code-security/secret-scanning/introduction/supported-secret-scanning-patterns, (参照 26-07-12).
※本記事は公式発表を基に編集しています。内容はAIで確認していますが、誤りや最新情報との差異がある場合は、以下フォームよりご報告ください。
修正・削除・掲載などの依頼はこちらITやプログラミングに関するコラム
HTMLで"が文字化けする原因と解決方法を解説
1on1の目的と効果、実施方法を詳しく解説
【Python】2次元配列の要素の取り出し方(リスト・NumPy)
【Python】2次元配列に行と列をappendで追加する方法を解説
【Python】2次元配列の初期化方法をサンプルコードと併せて解説
【Python】2次元配列の宣言、要素操作、ループ処理の方法について解説
【Python】2次元配列の列を簡単に抽出する方法
【Python】2次元配列を空で宣言し値を追加する基本的な方法
【Python】2重ループや多重ループをbreakで抜ける方法
【Python】3Dモデルを描画できるライブラリ3選
ITやプログラミングに関するニュース
Apache Camelに深刻度Criticalを含む17件の脆弱性が公表、修正版への更新で対応が必要に
Hugoに5件の脆弱性が公表、修正版0.163.3への更新でまとめて対応可能に
Python Pillowに5件の脆弱性が公表、修正版12.3.0への更新で対応可能に
radare2に4件の脆弱性が公表、修正版6.1.8への更新でまとめて対応可能に
vLLMに4件の脆弱性が公表、修正版0.24.0への更新で対応が可能に
Crawl4AIに3件の脆弱性が公表、修正版0.9.0への更新でまとめて対応が可能に
Apache IoTDBに3件の脆弱性が公表、修正版2.0.8への更新で対応が必要に
pnpmにパストラバーサル脆弱性3件が公表、修正版への更新で対応が必要に
traefikに3件の脆弱性が公表、修正版への更新で対応が必要に
GitHub Copilotがリポジトリ概要機能を一般提供、初めて開くリポジトリの目的や使用技術を即把握
