クラウドコミュニケーションプラットフォームを手掛けるTwilioは、機密データを誤ってGitHubにアップロードすることを防ぐツール「Deadshot」を開発し、2021年5月にオープンソースソフトウェアとして公開した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
クラウドコミュニケーションプラットフォームを手掛けるTwilioは2021年5月18日(米国時間)、プルリクエストスキャナーとして機能するGitHubアプリケーション「Deadshot」をオープンソースソフトウェアとして公開した。機密データをGitHubにアップしようとすると警告を発する。
Deadshotは、GitHub Organizationにインストールして利用する。GitHubリポジトリを監視し、リアルタイムにプルリクエストの差分をスキャンして、重要な機密情報をチェックする。機密情報の指定には正規表現を利用できる。
機密情報が見つかると、プルリクエストにコメントを付加し、指定された「Slack」のチャネルに通知する。もしも特定された機密情報に対処することなく、プルリクエストがマージされた場合は、セキュリティチームのキューにJIRAベースのチケットを発行する。
認証情報や秘密情報、SQL文など、機密データをコードに含めてはならないのは当然だ。だが、誰もがミスを犯す可能性があり、問題が起こる前に人的ミスを発見することが重要だ。
だが全てのコードを手動で監視することは不可能だ。Twilioはこうした認識から、GitHubリポジトリをリアルタイムで監視し、プルリクエスト段階で機密データを発見し、問題や機密に関わる機能変更にフラグを立て、手動のレビューに回すための自動化された方法として、Deadshotを社内向けに開発した。
Twilioが望むソリューションは、事前に定義した一連の正規表現と一致する機密データを、絶えず監視するというものだ。社内で広く使われるためには、このソリューションはある特徴を備えていなければならない。機密データと一致する正規表現を追加、削除する以外はコードを触らずに済むサービスでなければならない。
Copyright © ITmedia, Inc. All Rights Reserved.