GitHubに誤って機密データをアップロードしようとしていないか、オープンソースの対策ソフトが公開：正規表現を用いてプルリクエストの差分をリアルタイムにスキャン

クラウドコミュニケーションプラットフォームを手掛けるTwilioは、機密データを誤ってGitHubにアップロードすることを防ぐツール「Deadshot」を開発し、2021年5月にオープンソースソフトウェアとして公開した。

[＠IT]

　クラウドコミュニケーションプラットフォームを手掛けるTwilioは2021年5月18日（米国時間）、プルリクエストスキャナーとして機能するGitHubアプリケーション「Deadshot」をオープンソースソフトウェアとして公開した。機密データをGitHubにアップしようとすると警告を発する。

　Deadshotは、GitHub Organizationにインストールして利用する。GitHubリポジトリを監視し、リアルタイムにプルリクエストの差分をスキャンして、重要な機密情報をチェックする。機密情報の指定には正規表現を利用できる。

　機密情報が見つかると、プルリクエストにコメントを付加し、指定された「Slack」のチャネルに通知する。もしも特定された機密情報に対処することなく、プルリクエストがマージされた場合は、セキュリティチームのキューにJIRAベースのチケットを発行する。

　認証情報や秘密情報、SQL文など、機密データをコードに含めてはならないのは当然だ。だが、誰もがミスを犯す可能性があり、問題が起こる前に人的ミスを発見することが重要だ。

　だが全てのコードを手動で監視することは不可能だ。Twilioはこうした認識から、GitHubリポジトリをリアルタイムで監視し、プルリクエスト段階で機密データを発見し、問題や機密に関わる機能変更にフラグを立て、手動のレビューに回すための自動化された方法として、Deadshotを社内向けに開発した。

Deadshotはどのように動作するのか

　Twilioが望むソリューションは、事前に定義した一連の正規表現と一致する機密データを、絶えず監視するというものだ。社内で広く使われるためには、このソリューションはある特徴を備えていなければならない。機密データと一致する正規表現を追加、削除する以外はコードを触らずに済むサービスでなければならない。