GitHub、コード中に書いてはいけないアクセストークンを発見、通知してくれる「Secret scanning」機能、プライベートリポジトリで正式対応

GitHubは、本来ソースコード中に書くべきではないアクセストークンなどを、コードやアーカイブから発見し通知してくれるSecret scanning機能がプライベートリポジトリでも正式な機能として利用可能になったことを明らかにしました。

Check out two new ways to ship secure applications with GitHub Advanced Security! Secret scanning for private repos is now generally available, and we've released the beta of our new security overview for orgs and teams. https://t.co/FQSzdorn25

— GitHub (@github) March 30, 2021

アクセストークンは、APIなどを呼び出す際にそのコードの実行者が適正な呼び出し権限を持つことを示すためなどの目的で用いられるもので、一般的には特殊な文字列で表されます。

何らかの原因でアクセストークンがコード内にそのまま記述されると、本来そのアクセストークンを知るべきでない人物にまでアクセストークンが利用可能になります。すると不正にAPIが利用されたり、知らぬ間にアクセストークン本来の持ち主にAPI利用料が請求される、といった事故につながりかねません。

GitHubは2018年にこの機能を発表し（発表当時の名称は「Token Scanning」）、2020年5月にはプライベートリポジトリでベータ版として利用可能になっていました。

正式版では、識別可能なトークン、例えばAWSのアクセスキーやGoogle CloudのAPIキー、SlackのAPIトークン、TwillioのAPIキーなどの種類が35種類以上に拡大。

トークンを発見した際に、APIやWebhook経由でアラートを発することも可能になり、また管理者とコミットオーサーにも通知が行くようになりました。

複数のプロジェクトを持つセキュリティ管理者のための画面を追加

GitHubはまた、複数のプロジェクトを担当するセキュリティ管理者が、脆弱性情報などをまとめて参照できる「security overview for organizations and teams」をベータ版として提供開始したことも発表しました。

この機能では、担当する複数のプロジェクトのセキュリティ状況を、組織やチームの「Security」タブでまとめて参照できる画面が追加されました。

また、特に注意しておきたいプロジェクトをいくつか取り上げて、その状況を見ることもできるようになっています。

昨日の記事ではGitLabがバグや脆弱性のツール「GitLab Protocol Fuzzer Community Edition」をオープンソース化したことを取り上げました。

GitHubもGitLabも、コードを記述し、ビルドし、テストし、デプロイするという一連の開発サイクルをカバーする包括的なツールとして製品を強化しています。

そのなかでコードの欠陥をできるだけ自動的に検出する機能は、迅速にソフトウェアを開発する環境を実現する上で欠かせないものとなっているようです。

両社ともにいま、その部分の機能強化を進める局面にあるように見えます。

参考：GitLab、バグや脆弱性の検出ツール「GitLab Protocol Fuzzer Community Edition」をオープンソースで公開。APIやHTTP経由などでファジングを実行