GitHubなどのコード管理プラットフォームに「シークレットスキャンツールでは検知できないシークレット漏えい」のリスク　Aqua Security Softwareが解説：「リポジトリの履歴」が見過ごされている可能性を指摘

Aqua Security Softwareは公式ブログで、「GitHub」「GitLab」「Bitbucket」「Azure Repos」などのソースコード管理プラットフォームに、従来のシークレットスキャンツールでは見落とされる可能性のあるシークレット漏えいのリスクがあるとして注意を喚起した。

» 2024年07月18日 08時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　Aqua Security Softwareは2024年6月23日（米国時間）に公式ブログで、「GitHub」「GitLab」「Bitbucket」「Azure Repos」といったソースコード管理（SCM）プラットフォームに、従来のシークレット（機密情報）スキャンツールでは見落とされる可能性のあるシークレット漏えいのリスクがあるとして注意を喚起した。

　Aqua Security Softwareは、GitHubの上位100組織にある5万2268個のリポジトリを対象に、Gitリポジトリ内のシークレットをチェックする「Gitleaks」と、同社が明らかにした手法に基づいた調査を比較した結果、Gitleaksのようなシークレットスキャンツールでは漏えいしているシークレットの約18％を見逃す可能性があると明らかにしている。

　この調査の過程では、Mozillaの従業員が利用するファジングツールのAPIトークンや、テレメトリーサービス用のAPIトークン、あるFortune 500企業が使用している「CIsco Meraki」のAPIトークン、ヘルスケア企業が利用する「Microsoft Azure」の認証用シークレットが含まれていたことも判明したという。

　Aqua Security Softwareは「一度でもコードにシークレットを記述すると、一見削除したように見えてもそのシークレットが永久に公開されてしまう可能性がある」とした上で、シークレットが漏えいするシナリオや、GitHubなどのSCMプラットフォームにおけるシークレットの漏えい対策を解説している。

Aqua Security Softwareが明らかにしたシークレット漏えいのシナリオ

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

GitHub、個人アカウントにプッシュ保護設定を追加　管理者向けのメトリクス機能も
GitHubは、シークレットの漏えい防止を支援するプッシュ保護機能の強化を発表した。個人アカウントにプッシュ保護の設定が追加され、組織の管理者はプッシュ保護の統計を確認できる。
GitHub、全ての公開リポジトリに対して無料の「Secret scanningアラート」を提供開始
GitHubは2023年2月28日、全ての公開リポジトリを対象に、無料で利用できる「Secret scanningアラート」の一般提供（GA）を開始した。有効化の方法や約1万4000のリポジトリで1000件を超えるシークレットの発見例なども公開している。
進化したKubernetesのシークレット管理「External Secrets Operator」――シークレットを外部ツールで管理してGit上でもセキュアに使おう
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、外部のシークレット管理ツールと連携して、KubernetesのSecretオブジェクトを管理する「External Secrets Operator」を紹介する。