[速報]GitHub、見られてはいけないコード中のアクセストークンを発見し通知してくれる「Token Scanning」発表。GitHub Universe 2018
クラウドサービスが充実してきたことで、コードからクラウドAPIを呼び出して利用することが一般的になってきました。クラウドAPIを呼び出す際には、適正な呼び出し権限を持つことを示すため、あるいは呼び出す側を特定して課金するなどの目的でアクセストークンを用いることがあります。
アクセストークンは第三者に知られないように安全に管理し利用する必要がありますが、何らかの原因でアクセストークンがコード内にそのまま記述されてそのコードがGitHubなどで公開された結果、悪意のある第三者に使われ、アクセストークン本来の持ち主に膨大な利用料金が請求される、といった事故がしばしば起きています。
GitHubはこうした事故を防ぐため、コード内に記述されたアクセストークンを自動的に発見し、通知してくれる「Token Scanning」機能を、サンフランシスコで開催中のイベント「GitHub Universe 2018」で発表しました。
Token Scanningは文字通り、次のようなコード内にそのまま記述されているトークンを自動的に発見。通知してくれます。
セキュリティアラートにJavaと.NETが対応
あるプロジェクトが依存している別のプロジェクトやパッケージなどに脆弱性が発見された場合、それを表示してくれる「Security alerts」機能では、これまでのJavaScript、Ruby、Pythonに加え、Javaと.NETへの対応が発表されました。
GitHubはさまざまなパッケージやライブラリなどの脆弱性に関する情報を管理しており、それら脆弱性が発見されたパッケージなどに依存しているプロジェクトに対してアラートを発する「Security alerts」機能は、昨年のGitHub Universe 2017で発表。JavaScript、Ruby、Pythonでの対応を行ってきました。
あれから1年後となるGitHub Universe 2018で、これにJavaと.NETが加わることになりました。
GitHub Universe 2018
あわせて読みたい
AWSの仮想プライベートサーバ(VPS)「Amazon Lightsail」、数クリックでMySQLなどのマネージドデータベースが設定可能に
≪前の記事
[速報]GitHub Actions発表、Dockerコンテナの連係によるワークフローを自由に定義可能。GitHub Universe 2018
