企業のパブリックGitHubリポジトリは機密情報だらけ? APIキーやトークン、認証情報が複数見つかるSOCRadarの調査、企業が取るべき対策は?

セキュリティ企業SOCRadarは、企業がGitHubのリポジトリに機密情報を誤ってアップロードしていないかどうか調査した結果を発表した。

» 2023年07月28日 08時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 米国のセキュリティ企業SOCRadarは2023年7月25日(米国時間)、企業がGitHubのリポジトリに機密情報を誤ってアップロードしていないかどうか調査した結果を発表した。同調査は、技術コンサルティング、金融、ソフトウェア、マーケティング、情報セキュリティ、サイバーセキュリティ、通信といった業種でコミット数の多い企業を選択し、以下の手順で行われた。

  • GitHub上で共有されている可能性がある機密データを特定するため、調査の初期段階で91種類のGitHub検索クエリを用意した
  • 選択した企業の公開リポジトリのリストを調査対象として選定した
  • GitHubの詳細検索ページで、これらのリポジトリに対して検索した(「org:SOCRadar AND (query)」など)

有効なAPIキーに、データベースの認証情報も

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。