GitHub は、そのシークレット スキャン アラート サービスがすべてのパブリック リポジトリで一般に利用可能になり、公開履歴全体で漏えいしたシークレットを検出できるようになったことを発表しました。
シークレットは、GitHub リポジトリに誤って追加された機密データであり、API キー、アカウント パスワード、認証トークン、および攻撃者がセキュリティ違反を実行したり、非公開データへのアクセスを取得したりする可能性のあるその他の機密データを含みます。
攻撃者は一般に、GitHub の公開リポジトリを検索して認証シークレットを探し、ネットワークを侵害したり、データを盗んだり、独自の攻撃で会社になりすましたりします。
2022 年 12 月、 GitHub は、200 以上のトークン形式をスキャンする無料のシークレット スキャン機能のベータ版をすべてのパブリック リポジトリに展開し始め、開発者が機密データの偶発的な公開を検出できるようにしました。それ以来、70,000 のパブリック リポジトリがこの新機能を有効にしています。
本日、GitHub は、このサービスの一般提供が開始されたことを発表しました。すべてのパブリック リポジトリの所有者/管理者は、シークレット スキャン アラートを有効にしてデータを保護できます。
「本日現在、GitHub シークレット スキャンのアラート エクスペリエンスは一般に利用可能であり、すべてのパブリック リポジトリで無料です」とGitHub の発表を読みます。
「所有しているすべてのリポジトリでシークレット スキャン アラートを有効にして、コード、問題、説明、コメントを含む完全なリポジトリ履歴全体で漏洩したシークレットを通知できます。」
GitHub は、漏えいしたシークレット インシデントをリポジトリの所有者に通知するだけでなく、公開されたシークレットについて 100 を超えるシークレット スキャン パートナーに引き続き通知し、パートナーが認証トークンを取り消して顧客に通知できるようにします。
関係するパートナーに連絡できない場合は、管理者へのアラートで、公開されたシークレットがパブリック リポジトリから確実に削除されるようにする必要があります。
コード ホスティング プラットフォームは、DevOps コンサルタントおよびトレーナー @rajbos の例を使用して、シークレット スキャナーとアラートの能力を強調しています。開発者は、13,954 の公開 GitHub Action リポジトリでこの機能を有効にし、そのうち1,110 (7.9%) でシークレットを発見したと述べています。
「私は GitHub Advanced Security の使用について多くの人を訓練していますが、これを通じて自分のリポジトリで秘密を見つけました」と Rob Bos 氏は認めています。
「長年の経験にもかかわらず、私自身にも起こります。それは、誤って秘密を含めることがいかに簡単かです。」
パブリック リポジトリを管理している GitHub ユーザーは、[設定] タブを開き、[セキュリティ] セクションの [コード セキュリティと分析] オプションをクリックして、下部にある [シークレット スキャン] の [有効にする] をクリックすることで、シークレット スキャン アラートを簡単に有効にすることができます。ページの。
シークレット スキャンの仕組みと新機能を最大限に活用する方法の詳細については、GitHub のドキュメントを参照してください。
Comments