GitHub、全ての公開リポジトリに対して無料の「Secret scanningアラート」を提供開始約1万4000のリポジトリで1000件超えの“うっかりシークレット”例も

GitHubは2023年2月28日、全ての公開リポジトリを対象に、無料で利用できる「Secret scanningアラート」の一般提供(GA)を開始した。有効化の方法や約1万4000のリポジトリで1000件を超えるシークレットの発見例なども公開している。

» 2023年03月16日 08時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 GitHubは2023年2月28日、全ての公開リポジトリを対象に、無料で利用できる「Secret scanningアラート」の一般提供(GA)を開始した。ユーザーは使用中の全てのリポジトリに対してSecret scanningアラートを有効化すると、コード、Issue、説明文、コメントなどリポジトリの履歴全体にわたり、シークレット(アクセストークンやシークレットキーなど)の漏えいについて通知を受け取ることができる。

有効化の方法

 有効化するには、[設定]タブに移動して、[セキュリティ]の下にある[コードのセキュリティと分析]をクリックし、[Secret scanning]の横にある[有効]をクリックするだけだ。

「Secret scanningアラート」を有効化している様子(提供:GitHub)

 企業の管理者や組織のオーナーは、複数のリポジトリに対して一括で有効化することもできる。

GitHubパートナープログラムに参加している100社以上のサービスプロバイダーと連携

 Secret scanningアラートは、GitHubパートナープログラムに参加している100社以上のサービスプロバイダー(AWSやSlack、OpenAIなど)と連携している。シークレット漏えい時のユーザーへのアラート通知に加えて、パートナーへの通知も継続する。ただし、Secret scanningアラートを有効化すると、パートナーには通知できないアラート(例えば、セルフホスト型のキーが公開された場合など)が届くようになる。その際、アラートに対して取られたアクションの監査ログも提供される。

β版の提供開始時から7万の公開リポジトリで有効化

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。