GitHub、無料のパブリックリポジトリユーザーにも、コード内のシークレットを検知してくれる「Secret scanning」を無料提供へ

2022年12月21日

あるアプリケーションからデータベースやWebサービスのAPIなどにアクセスする場合、正規のアクセスであることを証明するなどの目的でIDとパスワードのセットやアクセストークンなどを必要とすることはよくあります。

こうした、いわゆるシークレットなどと呼ばれる重要な情報はコードに書くべきではありませんが、それでもしばしばパブリックリポジトリのコード中に誤って書き込まれ、公開されてしまうという事故が絶えません。

GitHubはこれまで、コード中のシークレットを検知してくれる「Secret scanning」機能を有償のユーザーに対して提供してきていました。

参考:GitHub、コード中に書いてはいけないアクセストークンを発見、通知してくれる「Secret scanning」機能、プライベートリポジトリで正式対応

また、主にシークレットを要求する側となるクラウドベンダやサービスベンダなどのパートナーに対しても、パブリックリポジトリ内にパートナーのシークレットが発見された場合には該当するパートナーへ通知を行うことで事故を可能な限り防ぐといった対応をしてきました。

このパートナープログラムでは、パートナーが事前にシークレット検知のための正規表現をGitHubに届けることができるようになっており、GitHubとパートナーが連係して漏洩してしまったシークレットの悪用に対応するわけです。

そして今回、GitHubはこのSecret scanning機能を無料でパブリックリポジトリを利用しているユーザーに対しても提供を開始すると発表しました。

今後は、万が一パブリックリポジトリのコード内にシークレットが検知された場合、ユーザーにも直接通知されるようになります。

無料のパブリックリポジトリに対するSecret scanning機能は、パブリックベータとして順次展開されていく予定で、来年(2023年)1月末までには全ユーザーに展開される予定です。

あわせて読みたい

開発ツール GitHub Microsoft




タグクラウド

クラウド
AWS / Azure / Google Cloud
クラウドネイティブ / サーバレス
クラウドのシェア / クラウドの障害

コンテナ型仮想化

プログラミング言語
JavaScript / Java / .NET
WebAssembly / Web標準
開発ツール / テスト・品質

アジャイル開発 / スクラム / DevOps

データベース / 機械学習・AI
RDB / NoSQL

ネットワーク / セキュリティ
HTTP / QUIC

OS / Windows / Linux / 仮想化
サーバ / ストレージ / ハードウェア

ITエンジニアの給与・年収 / 働き方

殿堂入り / おもしろ / 編集後記

全てのタグを見る

Blogger in Chief

photo of jniino

Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed

最新記事10本