GitHub、全ての公開リポジトリに対して無料の「Secret scanningアラート」を提供開始：約1万4000のリポジトリで1000件超えの“うっかりシークレット”例も

GitHubは2023年2月28日、全ての公開リポジトリを対象に、無料で利用できる「Secret scanningアラート」の一般提供（GA）を開始した。有効化の方法や約1万4000のリポジトリで1000件を超えるシークレットの発見例なども公開している。

» 2023年03月16日 08時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　GitHubは2023年2月28日、全ての公開リポジトリを対象に、無料で利用できる「Secret scanningアラート」の一般提供（GA）を開始した。ユーザーは使用中の全てのリポジトリに対してSecret scanningアラートを有効化すると、コード、Issue、説明文、コメントなどリポジトリの履歴全体にわたり、シークレット（アクセストークンやシークレットキーなど）の漏えいについて通知を受け取ることができる。

有効化の方法

　有効化するには、［設定］タブに移動して、［セキュリティ］の下にある［コードのセキュリティと分析］をクリックし、［Secret scanning］の横にある［有効］をクリックするだけだ。

「Secret scanningアラート」を有効化している様子（提供：GitHub）

　企業の管理者や組織のオーナーは、複数のリポジトリに対して一括で有効化することもできる。

GitHubパートナープログラムに参加している100社以上のサービスプロバイダーと連携

　Secret scanningアラートは、GitHubパートナープログラムに参加している100社以上のサービスプロバイダー（AWSやSlack、OpenAIなど）と連携している。シークレット漏えい時のユーザーへのアラート通知に加えて、パートナーへの通知も継続する。ただし、Secret scanningアラートを有効化すると、パートナーには通知できないアラート（例えば、セルフホスト型のキーが公開された場合など）が届くようになる。その際、アラートに対して取られたアクションの監査ログも提供される。

β版の提供開始時から7万の公開リポジトリで有効化

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

GitHubは3月13日から二要素認証の義務付けを段階的に開始、具体的にはどう進められる？
GitHubは、GitHub.comでコードをコントリビュートする全開発者に二要素認証の利用を義務付ける方針を、2023年3月13日より実行に移す。この取り組みは段階的に実施される。
GitHubが比較した2つのセキュリティテストツール、それぞれいつ誰が使う？
GitHubは開発者がよく使用するセキュリティツールのうち、SCAツールとSASTツールを取り上げ、それぞれの機能を説明するとともに、GitHubが提供する独自のSCAツールとSASTツールを紹介した。
Log4j脆弱性に55万件のアラート送信も――GitHubで安全なソフトウェアを作成する5つの簡単な方法とは
GitHubは、「GitHub」のネイティブツールや機能を活用してより安全なソフトウェアを作成する5つの方法を紹介した。