GitHub、すべてのパブリックリポジトリに対してSecret scanningアラートの一般提供(GA)を開始
GitHubは、2022年12月に、すべてのパブリックリポジトリに対して、Secret scanningアラートのパブリックベータ版(https://github.blog/jp/2022-12-22-leaked-a-secret-check-your-github-alerts-for-free/)の提供開始を発表しました。ユーザーは使用しているすべてのリポジトリに対してSecret scanningアラートを有効化し、コード、Issue、説明文、コメントなどリポジトリの履歴全体にわたりシークレットの漏洩について通知を受け取ることができます。
リリース以降、7万ものパブリックリポジトリでSecret scanningアラートが有効化され、漏洩したシークレットのトリアージに大きく貢献しています。
GitHubのSecret scanningは、GitHubパートナープログラムに参加している100社以上のサービスプロバイダーと連携しており、シークレット漏洩時のユーザーへのアラート通知に加えて、パートナーへの通知も継続します。Secret scanningアラートを有効化すると、パートナーには通知できないアラート(例えば、セルフホスト型のキーが公開された場合など)が届くようになります。その際、アラートに対して取られたアクションの完全な監査ログも提供されます。
大規模なリスクが完全に可視化
DevOpsコンサルタント兼トレーナーである@rajbos(https://github.com/rajbos)は、約14,000のリポジトリに対してSecret scanningを有効化し、1,000件を超えるシークレットを発見しました。
Robは次のように述べています。「私自身の実体験から、なぜ、すべての人がSecret scanningを有効にすべきか証明されました。14,000のパブリックGitHub Actionリポジトリを調査したところ、1,000件以上のシークレットを発見したのです。私自身が多くの人にGitHub Advanced Securityの使い方についてトレーニングを行ってきたにも関わらず、今回の調査で自身のリポジトリにシークレットがあることがわかりました。この業界での経験は浅くないにも関わらず、自分自身にも起きていました。それくらい、意図せずシークレットを含めてしまうことがあるということです。Secret scanningを有効にしておくと、シークレットに関する通知が届きます。パートナーが自動で取り消しを行うことにより、コードの安全性が少し高まります」
Robの経験の全容については、下記ブログ記事から、ご確認いただけます。
https://devopsjournal.io/blog/2023/01/22/Making-the-case-for-secret-scanning
ワンクリックで有効化が可能
パブリックリポジトリの所有者や管理者であれば、誰でもSecret scanningアラートを有効化できます。企業の管理者やOrganizationのオーナーは、複数のリポジトリに対して一括で有効化できます。有効化するには、[設定] タブに移動して、[セキュリティ] の下にある [コードのセキュリティと分析] をクリックし、[Secret scanning] の横にある [有効] をクリックしてください。
リポジトリのSecret scanningアラートを有効にする詳しい方法については、GitHubのドキュメント(https://docs.github.com/ja/code-security/secret-scanning/about-secret-scanning)をご確認ください。
GitHub Secret scanningパートナーになる
共有ユーザーをシークレットの漏洩から保護することに興味があるサービスプロバイダーは、Secret scanningパートナープログラム(https://docs.github.com/ja/code-security/secret-scanning/secret-scanning-partner-program)への参加をご検討ください。現在、GitHubは200個以上のパターンと100社以上のパートナー(https://docs.github.com/ja/code-security/secret-scanning/secret-scanning-patterns)をサポートしています。ご参加に際しては、secret-scanning@github.comまでご連絡ください。
GitHub Blog
英語:https://github.blog/2023-02-28-secret-scanning-alerts-are-now-available-and-free-for-all-public-repositories/
日本語:https://github.blog/jp/2023-03-08-secret-scanning-alerts-are-now-available-and-free-for-all-public-repositories/
GitHubに関する情報は、こちらからもご覧いただけます。
Blog: (英語) https://github.blog (日本語) https://github.blog/jp
Twitter: (英語) @github( https://twitter.com/github )
(日本語) @GitHubJapan( https://twitter.com/githubjapan )
【GitHub について】https://github.co.jp
GitHubは「開発者ファースト」の思想のもと、開発者のコラボレーションおよび困難な問題解決、世界にとって重要なテクノロジーの創出を促進させるための開発環境を提供しています。また、ソフトウェアを起点とする新たな未来を創造し、世界に変化をもたらすため、個人または企業規模に関わらず、ベストなコラボレーションができるコミュニティの拡大を支援しています。
安全なソフトウェア開発には、日常のワークフローの中でできる限り早いタイミングで脆弱性を発見し、対処できる仕組みづくりが重要です。GitHubは、企業とオープンソースのメンテナーが、ソフトウェア開発のライフサイクル全体を通じて、安全にコーディングできるようにするツールとプロセスを構築しています。
GitHubは、開発者がコードを開発、共有、そしてリリースする場です。学生や趣味で開発を行う人、コンサルタント、エンタープライズの開発者、経営者など、初心者から高い専門性をもつ世界8,300万人以上の方々および400万以上のOrganizationに利用されています。GitHubは単なるソースコードを共有する場ではありません。GitHubはオープンソースコラボレーションの源としてさまざまなソリューションを提供します。