GitHub は、公開されたシークレット (資格情報や認証トークンなど) の無料スキャンのサポートを、コード ホスティング プラットフォーム上のすべてのパブリック リポジトリに展開しています。
シークレット スキャンは、組織が追加のリポジトリ スキャンを有効にして、既知の種類のシークレットの偶発的な公開を検出できるセキュリティ オプションです。
これは、パートナーやサービス プロバイダーによって提供されたパターン、または組織によって定義されたパターンを照合することによって機能します。各一致は、リポジトリの [セキュリティ] タブでセキュリティ アラートとして報告されるか、パートナー パターンが一致をトリガーした場合はパートナーに報告されます。
以前は、シークレット スキャン サービスは、GitHub Advanced Security ライセンスで GitHub Enterprise Cloud を使用している組織のみが利用できました。
GitHub は、200 を超えるトークン形式(API キー、認証トークン、アクセス トークン、管理証明書、資格情報、秘密鍵、秘密鍵などを含む) についてリポジトリをスキャンします。
今年の初めだけでも、同社は公開リポジトリで公開された潜在的な秘密について 170 万件以上のアラートを発行したと述べています。
「本日、GitHub コミュニティのすべての無料のパブリック リポジトリにシークレット スキャンを無料で展開し始めます」と GitHub の
マリアム・スラキアンとゼイン・マリクは木曜日に言った。
「本日、パブリック リポジトリのシークレット スキャンの段階的なパブリック ベータ版のロールアウトを開始し、2023 年 1 月末までにすべてのユーザーがこの機能を利用できるようになる予定です。」
リポジトリで有効にすると、GitHub はコード内の漏洩した秘密を開発者に自動的に通知するため、組織はアラートを簡単に追跡し、漏洩の原因を特定し、パブリック リポジトリに誤ってコミットされた秘密の不正使用を防ぐための迅速な措置を講じることができます。
無料のパブリック リポジトリのシークレット スキャン アラートをオンにするには、次の手順を実行する必要があります。
- GitHub.com で、リポジトリのメイン ページに移動します。
- リポジトリ名の下で、リポジトリの [設定] ボタンをクリックします。
- サイドバーの「セキュリティ」セクションで、「コードのセキュリティと分析」をクリックします。
- ページの一番下までスクロールし、シークレット スキャンの [有効にする] をクリックします。 [無効にする] ボタンが表示されている場合は、リポジトリに対してシークレット スキャンが既に有効になっていることを意味します。
GitHub のドキュメント Web サイトでリポジトリのシークレット スキャンを有効にする方法の詳細と、シークレット スキャン機能の詳細については、 こちらを参照してください。
4 月には、GitHub は、GitHub Advanced Security の顧客向けにシークレット スキャンの機能を拡張して、公開されたシークレットを含むコミットを自動的にブロックし、コードをリモート リポジトリにコミットする前に資格情報が偶発的に公開されるのを防ぐことも発表しました。
以前に報告されたように、公開された資格情報と秘密は影響の大きい侵害につながりました [ 1、2、3 ] 。
シークレット スキャンを有効にすることは、GitHub を使用する組織がサプライ チェーンのセキュリティを強化し、偶発的な漏洩から身を守るための簡単な方法です。
Comments