GitHub、個人アカウントにプッシュ保護設定を追加 管理者向けのメトリクス機能も：シークレットの漏えい防止を支援

GitHubは、シークレットの漏えい防止を支援するプッシュ保護機能の強化を発表した。個人アカウントにプッシュ保護の設定が追加され、組織の管理者はプッシュ保護の統計を確認できる。

[＠IT]

　GitHubは2023年8月9日（米国時間）、パブリックリポジトリで無料で利用できるプッシュ保護機能（Push Protection）に、個人アカウントへのプッシュ保護および保護状況を可視化するメトリクス機能を追加したと発表した。

　プッシュ保護機能は、2023年5月に全てのパブリックリポジトリ向けに公開されたシークレット漏えい防止機能を支援するものだ。APIキーなどのシークレットを含むコードをGitHubリポジトリにプッシュした場合、シークレットの種類、場所、修正方法に関するガイダンスを表示し、シークレットの削除を開発者に促す機能だ。

開発者や管理者をどう支援するのか

　従来のプッシュ保護機能では、プッシュ保護をリポジトリごとの設定画面から有効化する必要があり、リポジトリの管理者がプッシュ保護機能を有効にしているかどうかを逐一確認する必要があった。

　開発者向けプッシュ保護機能の追加により、アカウントの設定内にあるプッシュ保護を有効化することで、全てのパブリックリポジトリへのコードプッシュに保護機能が適用される。リポジトリの設定状況を確認しなくても開発者は安心できると、GitHubは述べている。

　個人アカウントのプッシュ保護機能はβ版として提供されており、今後全てのGitHub無料版アカウントにおいてデフォルトで有効化される予定だという。

　管理者向けの機能として追加されたプッシュ保護メトリクス機能では、組織の管理者やセキュリティマネジャーが、プッシュ保護で遮断されたシークレットの総数やブロックされたシークレット、バイパスされたシークレットの数などを確認できる。

プッシュ保護メトリクスの画面（提供：GitHub）

　GitHubが発表したこれらの機能は、以下の手順でアクセスできる。

• 個人アカウントのプッシュ保護：アカウントの個人設定に移動し「設定」を開く。セキュリティの項目にある「コードセキュリティ＆分析」を開き、ユーザーの項目にある「自分自身のプッシュを保護する」を有効化する
• 組織向けプッシュ保護メトリクス：「組織」の画面で「セキュリティ」タブを開き、「メトリクス」の下にある「シークレットスキャニング」を開くことで、組織の管理者やセキュリティマネジャーがプッシュ保護に関するデータを確認できる