GitHubトークンスキャニング により10億のトークンを検出 新たに5社のスキャニングパートナーと提携
オープンソースプロジェクトおよびビジネスユースを含む、ソフトウェア開発の開発プラットフォームを提供するGitHub,Inc.(本社:米国サンフランシスコ、以下ギットハブ)は、2019年8月19日(米国時間)に、トークンスキャニング( https://help.github.com/ja/articles/about-token-scanning )の新たなパートナーとして5社との提携を発表しました。
GitHubリポジトリにトークンや認証情報を意図せず公開してしまった、あるいは第三者が意図せずに公開した情報を偶然発見するという事象が報告されています。悪意のあるユーザーがこれらの情報を発見し、悪用した場合に発生する損害は甚大であり、その大きさは計り知れません。GitHubでは約1年前に、トークンスキャニングを導入、プッシュされたコミットをスキャンし、意図せず公開された認証情報の悪用を防止できるようになりました。
トークンスキャニングの( https://help.github.com/ja/articles/about-token-scanning ) 導入以降、GitHubではインテグレーションパートナーに対し、10億ものトークンを送信、検証*していただきました。
5社の新規スキャニングパートナー
セキュリティ上の脅威からお客様を守るという当社使命のもと、GitHubはAtlassian、Dropbox、Discord、Proctorio、Pulumiの5社と、各社のトークンフォーマットのスキャンについて新たに提携しました。この5社は、Alibaba Cloud、AWS、Azure、Google Cloud、Mailgun、npm、Slack、Stripe、Twilioといったサービスプロバイダーと共に開発者の保護に協力する優良企業です。JiraやDiscordなどの製品のトークンを誤ってチェックインしてしまった場合、チェックインから数秒以内に、トークンが一致している可能性がある旨の通知がプロバイダーに送信されるようになりました。これにより、プロバイダーは悪用される前にトークンの無効化が可能になりました。
トークンスキャニングの仕組み
GitHubでは日々約900万件のコミットがプッシュされています。コミットのプッシュ(またはプライベートリポジトリの公開)から数秒以内に、コンテンツをスキャンすることで、数多くの既知のトークンフォーマットをチェックします。一致するトークンフォーマットが検出されると、該当するサービスプロバイダーに通知が届き、サービスプロバイダーはトークンを無効化し、影響のあるユーザーに通知するなどの適切な対応をとることができます。
次の通知メールは、Discordトークンが意図せずにパブリックリポジトリに送信された場合にユーザーが受け取る例です。
セキュリティ侵害防止の協力のお願い
トークンを使用し認証あるいは承認を行っているクラウドサービスプロバイダーまたはAPIサービスプロバイダーであり、このような破壊的なシナリオからユーザを保護したいとお考えのプロバイダーの皆さまに、ご協力をお願いしてます。
ご協力いただくには、簡単な書類手続き、貴社のトークンフォーマットに合致する正規表現の定義、そしてAPIエンドポイントをセットアップするだけです。
GitHubトークンスキャニングパートナーになるための詳細はこちら
https://developer.github.com/partnerships/token-scanning/
*「検証用のトークン」とは、潜在的な一致のためにトークンスキャンパートナーに送信したトークンの数を表し、誤検知が含まれる場合があります。GitHubはサービスプロバイダーへ通知のうえ、トークンを失効させ影響を受けるユーザーに通知するという適切な対応をしていますが、パートナーから検証済みトークン数に関するデータを受け取ることはありません。
GitHub Blog
英語
https://github.blog/2019-08-19-github-token-scanning-one-billion-tokens-identified-and-five-new-partners/
日本語
https://github.blog/jp/2019-08-26-github-token-scanning-one-billion-tokens-identified-and-five-new-partners/
こちらからもGitHubに関する情報をご覧いただけます。
Blog: (英語) https://github.blog/ (日本語) https://github.blog/jp/
Twitter: (英語) @github( https://twitter.com/github )
(日本語) @GitHubJapan( https://twitter.com/githubjapan )
【ギットハブについて】https://github.co.jp
GitHubは世界で3,600万人にのぼる開発者および210万の組織に利用される開発プラットフォームです。プログラミング環境にオープンな会話と協調を重んじるコミュニケーションによって、コラボレーションを促進する開発環境を提供しています。これらの開発を実現するワークフローで必要となるコードレビュー、プロジェクトおよびチームマネージメント、ソーシャルコーディング、ドキュメント管理などに、これまで以上の効率性と透明性をもたらし、より高速かつ品質の高いソフトウェア開発を支援しています。
GitHubは多様なユースケースに適した開発プラットフォームを用意しており、オープンソースジェクトから企業における機密性の高いソフトウェア開発までに対応できます。無料で利用できるパブリックリポジトリはオープンソースプロジェクトにて多く利用されていますが、プライベートリポジトリが利用できる有償サービス、GitHub EnterpriseやBusiness on GitHub.comなども提供しています。
2008年に米国サンフランシスコで創業したGitHub, Inc.は、初の海外支社として、2015年に日本支社を開設しました。