コミットの調査
誤った、または不明なメールアドレスに紐づけられた gitlab.com のコミットの原因を特定するためのワークフロー
概要
ユーザーから、誤った、もしくは不明なユーザーやメールアドレスからのコミットがあるとの問い合わせが時々あります。
これが(よくある)設定ミスによるものか、本当のセキュリティインシデントなのかを特定することは Support の責務の一部です。
コミットしたユーザーを見つける
Kibana の使い方全般については、500 エラーのワークフロー を参照してください。
コミットを行ったユーザーを見つけるには:
- sidekiq ログを開きます。
- コミット SHA を検索します。
- オプションで、プロジェクトパスを
json.meta.projectとして追加します。 insertIdとjson.argsの下に SHA があるエントリを探します。json.meta.userがコミットを push した GitLab ユーザー名を示しています。
ログが Kibana で利用できない場合(7 日より古い)、プロジェクトのアクティビティページで SHA を検索してみてください。それでも見つからない場合は、サポートを得るために Slack の #security に投稿してください。
認可の確認
検索結果に基づいて、ユーザーがプロジェクトへのアクセス権を持っているかを確認します。
権限を持っている場合は、コミットしたユーザーが誰かをお客様に明確に伝え、ユーザーに gitconfig の名前とメールアドレスを再確認してもらうよう返答します。
権限を持っていない場合は、さらなる調査のために secops の Issue を作成してください。
最終更新 June 14, 2026: Merge pull request #403 from kyama0/claude/cool-turing-ls6eck (
bfd74782)