企業のパブリックGitHubリポジトリは機密情報だらけ？　APIキーやトークン、認証情報が複数見つかる：SOCRadarの調査、企業が取るべき対策は？

セキュリティ企業SOCRadarは、企業がGitHubのリポジトリに機密情報を誤ってアップロードしていないかどうか調査した結果を発表した。

» 2023年07月28日 08時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　米国のセキュリティ企業SOCRadarは2023年7月25日（米国時間）、企業がGitHubのリポジトリに機密情報を誤ってアップロードしていないかどうか調査した結果を発表した。同調査は、技術コンサルティング、金融、ソフトウェア、マーケティング、情報セキュリティ、サイバーセキュリティ、通信といった業種でコミット数の多い企業を選択し、以下の手順で行われた。

GitHub上で共有されている可能性がある機密データを特定するため、調査の初期段階で91種類のGitHub検索クエリを用意した
選択した企業の公開リポジトリのリストを調査対象として選定した
GitHubの詳細検索ページで、これらのリポジトリに対して検索した（「org:SOCRadar AND （query）」など）

有効なAPIキーに、データベースの認証情報も

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}