[速報]GitHub、見られてはいけないコード中のアクセストークンを発見し通知してくれる「Token Scanning」発表。GitHub Universe 2018

2018年10月17日

クラウドサービスが充実してきたことで、コードからクラウドAPIを呼び出して利用することが一般的になってきました。クラウドAPIを呼び出す際には、適正な呼び出し権限を持つことを示すため、あるいは呼び出す側を特定して課金するなどの目的でアクセストークンを用いることがあります。

アクセストークンは第三者に知られないように安全に管理し利用する必要がありますが、何らかの原因でアクセストークンがコード内にそのまま記述されてそのコードがGitHubなどで公開された結果、悪意のある第三者に使われ、アクセストークン本来の持ち主に膨大な利用料金が請求される、といった事故がしばしば起きています。

GitHubはこうした事故を防ぐため、コード内に記述されたアクセストークンを自動的に発見し、通知してくれる「Token Scanning」機能を、サンフランシスコで開催中のイベント「GitHub Universe 2018」で発表しました。

fig1

Token Scanningは文字通り、次のようなコード内にそのまま記述されているトークンを自動的に発見。通知してくれます。

fig2

セキュリティアラートにJavaと.NETが対応

あるプロジェクトが依存している別のプロジェクトやパッケージなどに脆弱性が発見された場合、それを表示してくれる「Security alerts」機能では、これまでのJavaScript、Ruby、Pythonに加え、Javaと.NETへの対応が発表されました。

fig3

GitHubはさまざまなパッケージやライブラリなどの脆弱性に関する情報を管理しており、それら脆弱性が発見されたパッケージなどに依存しているプロジェクトに対してアラートを発する「Security alerts」機能は、昨年のGitHub Universe 2017で発表。JavaScript、Ruby、Pythonでの対応を行ってきました。

あれから1年後となるGitHub Universe 2018で、これにJavaと.NETが加わることになりました。

GitHub Universe 2018

あわせて読みたい

プログラミング言語 Git GitHub




タグクラウド

クラウド
AWS / Azure / Google Cloud
クラウドネイティブ / サーバレス
クラウドのシェア / クラウドの障害

コンテナ型仮想化

プログラミング言語
JavaScript / Java / .NET
WebAssembly / Web標準
開発ツール / テスト・品質

アジャイル開発 / スクラム / DevOps

データベース / 機械学習・AI
RDB / NoSQL

ネットワーク / セキュリティ
HTTP / QUIC

OS / Windows / Linux / 仮想化
サーバ / ストレージ / ハードウェア

ITエンジニアの給与・年収 / 働き方

殿堂入り / おもしろ / 編集後記

全てのタグを見る

Blogger in Chief

photo of jniino

Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed

最新記事10本