GitHub、全ての公開リポジトリに対して無料の「Secret scanningアラート」を提供開始:約1万4000のリポジトリで1000件超えの“うっかりシークレット”例も
GitHubは2023年2月28日、全ての公開リポジトリを対象に、無料で利用できる「Secret scanningアラート」の一般提供(GA)を開始した。有効化の方法や約1万4000のリポジトリで1000件を超えるシークレットの発見例なども公開している。
GitHubは2023年2月28日、全ての公開リポジトリを対象に、無料で利用できる「Secret scanningアラート」の一般提供(GA)を開始した。ユーザーは使用中の全てのリポジトリに対してSecret scanningアラートを有効化すると、コード、Issue、説明文、コメントなどリポジトリの履歴全体にわたり、シークレット(アクセストークンやシークレットキーなど)の漏えいについて通知を受け取ることができる。
有効化の方法
有効化するには、[設定]タブに移動して、[セキュリティ]の下にある[コードのセキュリティと分析]をクリックし、[Secret scanning]の横にある[有効]をクリックするだけだ。
企業の管理者や組織のオーナーは、複数のリポジトリに対して一括で有効化することもできる。
GitHubパートナープログラムに参加している100社以上のサービスプロバイダーと連携
Secret scanningアラートは、GitHubパートナープログラムに参加している100社以上のサービスプロバイダー(AWSやSlack、OpenAIなど)と連携している。シークレット漏えい時のユーザーへのアラート通知に加えて、パートナーへの通知も継続する。ただし、Secret scanningアラートを有効化すると、パートナーには通知できないアラート(例えば、セルフホスト型のキーが公開された場合など)が届くようになる。その際、アラートに対して取られたアクションの監査ログも提供される。
β版の提供開始時から7万の公開リポジトリで有効化
GitHubによると、2022年12月にパブリックβ版の提供を開始して以降、7万の公開リポジトリでSecret scanningアラートが有効化され、漏えいしたシークレットのトリアージ(対応の優先順位決め)にとても大きく貢献しているという。
約1万4000の公開リポジトリで1000件を超えるシークレットの発見例も
GitHubは実例も挙げている。
DevOpsコンサルタント兼トレーナーの@rajbosは、約1万4000の公開GitHub Actionリポジトリに対してSecret scanningアラートを有効化し、1000件を超えるシークレットを発見した。
「私自身が多くの人にGitHub Advanced Securityの使い方についてトレーニングしてきたのに、今回の調査で自身のリポジトリにシークレットがあることが分かった。この業界での経験は浅くないにもかかわらず、自分自身にも起きていた。それくらい、うっかりシークレットを含めてしまうことがある」(@rajbos)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
GitHubは3月13日から二要素認証の義務付けを段階的に開始、具体的にはどう進められる?
GitHubは、GitHub.comでコードをコントリビュートする全開発者に二要素認証の利用を義務付ける方針を、2023年3月13日より実行に移す。この取り組みは段階的に実施される。GitHubが比較した2つのセキュリティテストツール、それぞれいつ誰が使う?
GitHubは開発者がよく使用するセキュリティツールのうち、SCAツールとSASTツールを取り上げ、それぞれの機能を説明するとともに、GitHubが提供する独自のSCAツールとSASTツールを紹介した。Log4j脆弱性に55万件のアラート送信も――GitHubで安全なソフトウェアを作成する5つの簡単な方法とは
GitHubは、「GitHub」のネイティブツールや機能を活用してより安全なソフトウェアを作成する5つの方法を紹介した。