GitHub シークレットスキャンパートナープログラム契約

有効日: 2026 年 3 月 17 日

1. 定義

「関連会社」 は、当事者に関して、直接または間接的に制御する、その当事者によって管理されている、またはその当事者と共通の管理下にあるエンティティを意味します。ここで、「制御」とは、投票証券の50%以上の所有権または同等の所有権を意味します。

"検出された資格情報" とは、GitHub のシークレットスキャン機能によって、GitHub プラットフォームでホストされているコンテンツで、パートナーのサービスに関連付けられているパターンと一致するものとして識別されるトークン、キー、パスワード、またはその他の認証資格情報を意味します。

"検出通知" は、パートナーエンドポイントにマッチデータを送信する GitHub のイベントを意味します。各検出通知には、そのイベントの一部として送信された一致データが含まれます。本契約に基づく照合データに適用される義務は、検出通知を通じて受信した照合データにも適用されます。

"フィードバックデータ" とは、プログラムに関連してパートナーが GitHub に提供または提供する情報を意味します。これには、(a) 検出された各資格情報の真陽性、誤検知、不確定としての分類が含まれます。(b) 失効、ローテーション、検疫、エンドユーザー通知など、検出通知に応答してパートナーが実行した修復アクション。(c) GitHub による検出通知の送信とパートナーによる修復の完了の間の応答時間メトリック。(d) 全体的なパフォーマンスフィードバックは、プログラムに関するパートナーの経験に限定されます。

「GitHub マーク」 とは、GitHub, Inc. またはその関連会社が所有または管理する商標、サービスマーク、会社名、ロゴ、およびその他のブランド識別子を意味します。

"GitHub メタデータ" は、Match Data に含まれる URL、ソース、および型のフィールドを意味します。

"データの一致" は、GitHub が検出された資格情報を識別するときに、GitHub がパートナーエンドポイントに送信するデータ要素を意味します。これには、(a) 検出された資格情報の値が含まれます。(b) 資格情報の種類の識別子。(c) 検出された資格情報が見つかった URL (空の可能性があります)(d) ソースの種類を指定します。これは、プログラムのドキュメントに記載されています。

"Microsoft NDA" とは、パートナーと Microsoft Corporation またはその関連会社との間で有効な秘密保持契約を意味します。

"Onboarding Materials" とは、テストアカウントの資格情報、パートナーエンドポイント URL、およびパートナーがプログラムへの参加を可能にするために GitHub に提供するその他の構成データを意味します。オンボーディングマテリアルはトークンパターンではありません。

"Partner" は、本契約に同意するエンティティまたは個人を意味します。

"パートナーエンドポイント" とは、パートナーが GitHub からマッチデータを受信するように指定する、インターネットにアクセス可能なパブリックエンドポイントを意味します。

"Program" は、GitHub シークレットスキャンパートナープログラムを意味します。

"Program Documentation" は、GitHub がプログラムを更新する可能性があるため、現在 https://docs.github.com/code-security/secret-scanning/secret-scanning-partner-programで入手できる、GitHub の Program 用に公開されているドキュメントを意味します。

"トークンパターン" とは、パートナーがプログラムで使用するために GitHub に提供する技術仕様を意味します。これには、(a) 資格情報の種類ごとに人間が判読できる一意の名前が含まれます。(b) 資格情報の種類を識別する正規表現とマルチパートリレーションシップルール。(c) 後処理ロジック、除外パターン、検証エンドポイント、および形式のドキュメント。(d) プログラムのパターンマッチング機能に関連してパートナーが GitHub に提供するその他の技術情報。

"検出サンプル" とは、(a) 失効、期限切れ、またはその他の無効な資格情報を含むトークンパターンを構築、テスト、検証するためにパートナーが GitHub に提供するテスト資料を意味します。(b) パートナーがテスト目的で生成する資格情報。(c) パートナーがそのような資格情報を提供する付属のドキュメントまたはメタデータ。 GitHub は、プログラムの期間中、およびアーカイブおよび回帰テストのために終了後 12 か月間、検出サンプルを保持できます。

2. ライセンス

2.1 所有権

当事者間と同様に、パートナーはトークンパターンに対するすべての権利、タイトル、関心を保持します。

2.2 トークンパターンライセンス

(a) 許可。 パートナーは、プログラム内や他の GitHub 製品およびサービス内のセキュリティスキャン、シークレット検出、または資格情報保護に関連するあらゆる目的で、GitHub に非独占的、永続的、取り消し不可能、世界的な使用料無料ライセンスを付与します。 GitHub は、GitHub の関連会社および GitHub に代わって行動するサービスプロバイダーに対してのみ、前述の権利をサブライセンスすることができます。ただし、各サブライセンスが秘密保持に拘束され、少なくとも本契約の保護として制限が使用されている場合です。

(b) オープンソースの配布。 GitHub は、MIT ライセンスまたはオープンソースイニシアチブによって承認されたその他のオープンソースライセンスの下にトークンパターンを組み込んだソフトウェアを一般に配布する場合があります。パートナーは、オープンソースライセンスの下で配布されると、そのソフトウェアに組み込まれているトークンパターンは、そのライセンスの条項によって管理され、取り消しまたは取り消しの対象にならないことを確認します。

(c) 存続。 このセクション 2.2 で付与されたライセンスは、何らかの理由で本契約の有効期限または終了後も存続します。

2.3 マテリアルライセンスのオンボード

パートナーは、プログラムの有効化と運用のみを目的として、オンボーディングマテリアルの使用、再現、表示を行う、非独占的で世界的な使用料無料ライセンスを GitHub に付与します。このライセンスは、本契約の有効期限または終了から 30 日後に終了します。その 30 日間、GitHub はオンボーディングマテリアルのアクティブな使用を停止するために商業的に合理的な努力を払いますが、バックアップ、キャッシュ、またはアーカイブされたレコードに保持されている付随的なコピーを消去する必要はありません。

2.4 フィードバックデータライセンス

パートナーは、GitHub の製品とサービスの開発、運用、改善に関連するあらゆる目的でフィードバックデータの派生物を使用、再現、変更、集計、分析、作成するための非独占的、永続的、取り消し不可能な、世界的な使用料無料の完全なサブライセンスを GitHub に付与します。このライセンスは、本契約の満了後または終了後も存続します。

2.5 検出サンプルライセンス

パートナーは、本契約期間中および終了後 12 か月間、トークンパターンの構築、テスト、検証のみを目的として、検出サンプルを使用および再現するための、非独占的で世界的な使用料無料ライセンスを GitHub に付与します。

2.6 パートナーの表現

パートナーは以下を表明し、保証します。

(a) パートナーは、本セクション2のライセンスを付与するためのトークンパターンを所有またはそれに関する十分な権利を持つ。

(b) トークンパターンは、パートナーの知識に対して、第三者の知的財産権を侵害しません。そして

2.7 失効なし

セクション 2.2 および 2.4 で付与されたライセンスは取り消し不可能であり、本契約の終了や GitHub による違反を含め、何らかの理由で失効の対象になりません。 GitHub による本契約違反に対するパートナーの救済策は、セクション 13、15、および 16 に記載されているものに限定されます。

3. パートナーエンドポイントの運用要件

3.1 パートナーエンドポイントのパフォーマンス

パートナーは、パートナーエンドポイントが次のことを確認する必要があります。

(a) マッチデータ送信を受信してから 15 秒以内に HTTP 2xx 状態コードを返し、受信を確認します。

(b) プログラムドキュメントで指定されているボリュームしきい値を下回る GitHub Webhook トラフィックをレート制限または拒否しません。

(d) すべての Match Data 転送に対してトランスポート層暗号化 (TLS 1.2 以降) を実装します。

(e) GitHub Webhook トラフィックを、同等のボリュームの他の受信トラフィックに対して調整、ブロック、またはデプリオリタイズしません。そして

(f) プログラムドキュメントで説明されているように、ECDSA-NIST-P256V1-SHA256 アルゴリズムを使用して、すべての受信要求で GitHub-Public-Key-Identifier ヘッダーと GitHub-Public-Key-Signature ヘッダーを検証します。

パートナーエンドポイントがカレンダー月に 5 日以上 (a) 項を満たさなければ、GitHub はパートナーに通知し、パートナーは 15 日間の治療を受ける必要があります。パートナーが解決に失敗した場合、パートナーがコンプライアンスを示すまで、GitHub は Match Data 転送を中断する可能性があります。

パートナーは、アクセス制御や転送中の暗号化など、パートナーエンドポイントに対する合理的なセキュリティ対策を維持するものとします。

3.2 追加のエンドポイントセキュリティ

パートナーが資格情報の検証、失効、またはエンリッチメントのエンドポイントを提供する場合、パートナーは以下を行います。

(a) プログラムのドキュメントで指定された資格情報または証明書を使用して、そのようなエンドポイントに対するすべての要求に対して認証を要求する。

(b) TLS 1.2 以降を使用して転送中のすべてのデータを暗号化する。

(d) パートナーがそのようなエンドポイントへの不正アクセスまたは侵害を認識した場合は、GitHub に直ちに通知します。

GitHub がこのようなエンドポイントから受け取るデータには、同じ目的の制限、秘密保持の義務、および本契約に基づくデータの照合に適用される使用制限が適用されます。 GitHub は、第 2.4 条および第 4 項で規定されているデータ以外の目的でこのようなデータを使用することはできません。

4. 一致データの目的の制限

4.1 パートナーは、以下の目的でのみマッチデータを使用するものとします。

(a) 検出された資格情報がパートナーのプラットフォーム上の有効な資格情報であるかどうかを確認する。

(b) 検出された資格情報の取り消しまたは検疫。そして

4.2 パートナーは、以下を含む他の目的でマッチデータを使用することはできません。

(a) マーケティングまたは広告。

(b) 競合情報、

(d) マッチデータを使用して、GitHub ユーザー、リポジトリの母集団、またはエコシステムの特性の行動パターンを推測または分析する。または

(e) パートナーのサービスを使用する GitHub ユーザーのデータベースを構築する。

4.3 プライベートリポジトリデータ

Match Data がプライベートリポジトリから生成された場合、パートナーは、GitHub とリポジトリ所有者の間のデータ保護契約など、追加の法的要件がデータに適用される可能性があることを確認します。パートナーは、この契約に基づくパブリックリポジトリの一致データに適用されるのと同じかそれ以上の保護をプライベートリポジトリの Match Data に適用するものとします。

5. セキュリティ

5.1 パートナーは、パートナーエンドポイントに対して合理的なセキュリティ対策を維持するものとします。

5.2 GitHub は、トークンパターンを不正な開示から保護するために、商業的に合理的なセキュリティ対策を維持するものとします。この義務は、GitHub がセクション 2.2(b) で配布したトークンパターン、または公開されていないトークンパターンには適用されません。

6. マッチデータの秘密保持

6.1 パートナーは、マッチデータを機密情報として扱います。本第 6 条に基づくパートナーの義務は、パートナーが Microsoft NDA (セクション 1 で定義) またはパートナーと Microsoft Corporation またはその関連会社との間の後継の秘密保持契約に基づく義務に加えて適用され、その代わりに適用されません。この第 6 条と一致データの処理に関するこのような秘密保持契約との間に競合がある場合、より制限の厳しい義務が適用されます。

6.2 パートナーは、GitHub メタデータによって GitHub のユーザー名、リポジトリ名、ファイルパスが明らかになる可能性があり、集計された Match Data (複数の配信、ユーザー、または期間にわたって集計されるかどうかにかかわらず) が GitHub ユーザーに関するパターンを明らかにできることを認めています。パートナーは、本契約に基づくセキュリティおよびアクセス制御対策を実施する際に、これらのリスクを考慮する必要があります。

6.3 パートナーは、リポジトリ構造、ファイルパス、シークレット使用状況の傾向、またはコミットレベルのアクティビティを特定するために、Match Data を分析または処理しないものとします。

6.4 侵害通知

パートナーは、マッチデータへの不正アクセス、開示、または損失を認識した後、72 時間以内に、期限切れなく GitHub に通知するものとします。通知には、既知の範囲(a)インシデントの性質が含まれるものとします。(b) 影響を受ける一致データのカテゴリとおおよその量。(c) インシデントを軽減するために実施または提案された措置。

7. データの保持と削除

7.1 パートナーは、有効性チェックを完了してから 30 日以内に GitHub メタデータを削除し、セクション 4 に基づく失効または通知アクションを行います。

7.2 セクション 7.1 は、マルチパート資格情報のすべてのコンポーネントを含む、検出された資格情報の値には適用されません。これらの値はパートナー独自の顧客資格情報であり、パートナー独自のデータ保持ポリシーによってそれらの値の保持が管理されます。

8.1 パートナーは、パートナーの関連会社、ベンダー、または下請け業者を含む第三者に対して、マッチデータを開示、転送、またはその他の方法で利用可能にしてはなりません。

8.2 セクション 8.1 では、パートナーが次の場合、適用法令で要求された場合に、パートナーがマッチデータを開示することを禁止しません。

(a) 法律で認められている範囲で必要な開示を事前に GitHub に通知する。そして

(b) 法的に必要な最小限の情報のみを開示する。

9. GitHub の知的財産とマーク

9.1 所有権

パートナーは、GitHub が GitHub によって所有または管理されているすべての知的財産に対して、GitHub がすべての権利、タイトル、関心を保持していることを確認します。本契約のいかなる規定も、GitHub の知的財産に対する所有権の所有権をパートナーに譲渡または割り当てするものではありません。

9.2 GitHub マークの限定的な使用

パートナーは、以下の目的でのみ、プログラムを名前 (例: "GitHub Secret Scanning Partner") で参照できます。

(a) パートナーのウェブサイト、ブログ、またはマーケティング資料上のプログラムへのパートナーの参加を特定すること。そして

(b) プログラムに関する GitHub のドキュメントにパートナーのユーザーを誘導する。

9.3 GitHub マークの使用制限

パートナーは以下を行いません。

(a) パートナー自身の製品名、サービス名、ドメイン名、またはソーシャルメディアハンドルの一部として GitHub Mark を使用する。

(b) GitHub マークの変更、アニメーション化、歪曲、またはその他の変更、

(d) GitHub がパートナーの製品またはサービスを支持、認定、または保証することを意味する方法で GitHub Mark を使用すること。または

(e) GitHub マークと混乱を招くような商標、ドメイン名、またはソーシャルメディアハンドルを登録または登録しようとします。

9.4 ブランドガイドライン

パートナーによる GitHub マークの使用は、https://brand.github.com/guides/getting-startedで公開されている GitHub の現在の商標およびロゴの使用ガイドラインに準拠している必要があります。

9.5 暗黙の権利なし

第 9.2 条の限定的な参照権を除き、本契約はパートナーに GitHub マークを使用するライセンスまたは権利を付与しません。パートナーによる GitHub マークの承認された使用から生じるすべての暖簾は、GitHub の利益のみを保証します。

9.6 資格情報の種類の公開

パートナーは、GitHub が、サポートされているパートナーの資格情報の種類を GitHub のドキュメント、ダッシュボード、またはプログラム資料で公開する可能性があることを認めます。

10. 適用される法令の遵守

10.1 パートナーは、資格情報データの取り扱い、侵害通知、およびデータ保護に関する法律を含め、本プログラムへの参加に関連して適用されるすべての法律を遵守するものとします。

10.2 各当事者は、本プログラムに関連して適用される輸出管理および制裁法を遵守するものとします。

11. フィードバック機構

11.1 パートナーは、独自の裁量により、フィードバックデータを GitHub に提供することができます。

11.2 フィードバックデータに関する GitHub の権利は、セクション 2.4 に記載されています。 GitHub は、フィードバックデータの使用に対してパートナーに追加の補償や義務を負いません。

12. 変更

12.1 プログラム文書の組み込み

プログラムのドキュメントは、本契約の一部です。本契約の本文とプログラムドキュメントの間に競合がある場合は、本契約の本文が管理します。

12.2 本契約の変更

GitHub は、改訂版を https://docs.github.com/code-security/secret-scanning/secret-scanning-partner-program に投稿し、オンボード時に提供されたアドレスパートナーにメールで少なくとも 30 日前までにパートナーに通知することにより、いつでも本契約 (プログラムドキュメントを含む) を修正することができます。 30 日間の通知期間に続くパートナーによる本プログラムへの継続的な参加は、その変更に対するパートナーの同意を構成します。パートナーは、修正が有効となる前に、第 16.2 条に基づき本契約を終了することができます。

12.3 プログラムの変更

GitHub は、独自の裁量により、事前の通知なしに、本プログラムまたはその一部を変更、中断、または中止することができます。 GitHub は、本プログラムの変更、停止、および中止について、パートナーに対しても第三者に対しても責任を負わないものとします。

13. 補償

各当事者(補償当事者として)は、本プログラムに関連して本契約に対する補償当事者の重大な違反または適用法令違反から生じた第三者の請求、損失、損害、または費用(合理的な弁護士費用を含む)に対して、相手方、関連会社、およびそれぞれの役員、取締役、従業員、代理人を弁護、補償し、無害に保つものとします。 (a) 補償当事者が速やかに書面をもって補償当事者に通知し、(b) 補償当事者に弁護と解決の唯一の管理権を付与、(c) 補償当事者の費用で合理的な協力を提供する場合。

14. 免責事項

14.1. 保証の不在

適用法令で認められる最大限の範囲で、GitHub は、プログラム、マッチデータ、および関連するすべてのサービス、資料、ドキュメントを、「現状有姿」 かつ **** 「提供可能な範囲」で提供するものとし、明示的、黙示的、または法的に関わらず、どのような保証または条件も付さないものとします。 GitHub 特に****商品性、特定の目的に対する適合性、title、非侵害、正確性、可用性、および取引、またはパフォーマンスの過程から生じる保証を含め、すべての黙示の保証と条件を開示します。

14.2 パフォーマンスの保証なし

セクション14.1を制限することなく、GitHubは、(a)トークンの検出またはパターンマッチングが正確、完全、タイムリー、またはエラーを発生しないこと、(b)プログラムがいつでも中断または利用可能になること、または(c)欠陥が修正されることを保証しません。

15. 責任制限

15.1 損害免除

適用法令で認められる最大限の範囲において、いずれの当事者も、本契約に起因または関連して生じた利益、収益、のれん、データ、または使用の損失に対する間接的、付随的、特別、派生的、罰則的、または模範的損害について、他方の当事者に責任を負いませんが、責任の理論に関係なく、当事者がこれらの損害の可能性について助言された場合でも。

15.2 責任の上限

適用法令で許容される最大限の範囲において、契約中、不法行為、またはその他の場合を問わず、本契約に起因または関連するすべての請求に対するパートナーに対する GitHub の累積責任の合計は、100 米ドル (US $100) を超えないものとします。

15.3 バーゲンの基礎

パートナーは、このセクション 15 の制限は、当事者間のリスクの割り当てを反映しており、GitHub がこれらの制限なしにこの契約を締結しないことを認めます。本第15条の制限は、限定的な救済措置がその目的を達成しない場合でも適用されます。

15.4 上限からの除外

セクション 15.2 は以下には適用されません。

(a) パートナーによる第 4 条 (マッチデータの目的の制限)、セクション 6 (マッチデータの秘密保持)、またはセクション 8 (以降の共有なし) の違反。

(b) GitHub によるトークンパターンの使用が、セクション 2.2 で付与されたライセンスの範囲外である。

(d) 当事者の故意による不法行為または詐欺または

(e) 適用法令で制限が認められない責任。

16. 期間、終了、存続

16.1 期間

本契約は、パートナーが同意し、セクション 16.2 または 16.3 で終了するまで継続する日付に有効です。

16.2 契約終了

いずれの当事者も、少なくとも30日間の書面による通知を相手方に提供することにより、便宜上本契約を終了することができる。通知を受け取ると、両当事者は、未処理の検出通知の継続的な修復ワークフローを合理的に文書化することに同意します。

16.3 事由に基づく終了

(a) パートナーが第 4 条 (マッチデータの目的の制限)、セクション 6 (マッチデータの秘密保持)、またはセクション 8 (以降の共有なし) に違反した場合、GitHub は書面による通知で直ちに本契約を終了することができます。

(b) 相手方が本契約の他の条項に重大に違反し、合理的な詳細を示す書面による通知を受けてから 30 日以内に違反を解決できなかった場合、いずれの当事者も書面による通知で本契約を終了することができます。

16.4 即時中断

パートナーのコンプライアンス違反によって GitHub ユーザーに差し迫ったセキュリティリスクが生じる場合、GitHub は、第 3.1 条の治療期間なしで、パートナーの参加を直ちに停止することができます。 GitHub は、中断とその理由をパートナーに通知するものとします。パートナーが通知から 15 日以内にコンプライアンス違反を治した場合、GitHub はパートナーの参加を再開します。パートナーが 15 日以内に治療を行わない場合、いずれの当事者も書面による通知で本契約を終了することができます。

17. 雑則

17.1 準拠法

本契約は抵触法にかかわらず、本契約は米国カリフォルニア州法に準拠するものとします。

17.2 管轄

各当事者は、本契約から生じる、または本契約に関連するあらゆる措置について、カリフォルニア州サンフランシスコ郡にある州および連邦裁判所の排他的管轄権に取り消し不能に提出します。

17.3 陪審裁判を受ける権利の放棄

各当事者は、本契約に起因または関連するどのような行為でも陪審裁判の権利を取り消し不能に放棄します。

17.4 規定の存続

次の条項は、本契約の有効期限または終了後も存続します。

(a) セクション 2 (ライセンス) — セクション 2.1 (所有権)、セクション 2.2 (トークンパターンライセンス)、セクション 2.4 (フィードバックデータライセンス)、セクション 2.6 (パートナー表現)、およびセクション 2.7 (失効なし) は無期限に存続します。セクション 2.3 (オンボーディングマテリアルライセンス) は、終了後 30 日間存続します。

(b) セクション4(マッチデータの目的制限) - 終了後1年間存続する。

(d) 第6条(マッチデータの秘密保持) - 終了後1年間存続する。

(e) セクション 7 (データの保持と削除) - パートナーは、終了後 30 日以内に削除を完了するものとします。

(f) 第 8 条 (以降の共有なし) - 終了後 1 年間存続する。

(g) セクション 9 (GitHub IP とマーク) — 無期限に存続します。

(h) 第 13 条 (補償) — 無期限に存続する。

(i) 第 14 条 (免責事項) — 無期限に存続する。

(j) 第 15 条 (責任の制限) — 無期限に存続する。

(k) セクション 16.2 (事後修復ドキュメントの義務) - 終了後 30 日間存続します。

(l) セクション 17.1 (準拠法)、17.2 (管轄区域)、および 17.3 (陪審裁判を受ける権利の放棄) - 無期限に存続します。

(m) セクション 18 (割り当て) — 無期限に存続する。

(n) セクション 19 (通知) — 無期限に存続する。

(o) 第 20 条 (完全なる合意) — 無期限に存続します。

GitHub シークレット スキャン パートナー プログラム契約

この記事で

GitHub シークレットスキャンパートナープログラム契約