[速報]GitHub、見られてはいけないコード中のアクセストークンを発見し通知してくれる「Token Scanning」発表。GitHub Universe 2018

2018年10月17日


クラウドサービスが充実してきたことで、コードからクラウドAPIを呼び出して利用することが一般的になってきました。クラウドAPIを呼び出す際には、適正な呼び出し権限を持つことを示すため、あるいは呼び出す側を特定して課金するなどの目的でアクセストークンを用いることがあります。

アクセストークンは第三者に知られないように安全に管理し利用する必要がありますが、何らかの原因でアクセストークンがコード内にそのまま記述されてそのコードがGitHubなどで公開された結果、悪意のある第三者に使われ、アクセストークン本来の持ち主に膨大な利用料金が請求される、といった事故がしばしば起きています。

GitHubはこうした事故を防ぐため、コード内に記述されたアクセストークンを自動的に発見し、通知してくれる「Token Scanning」機能を、サンフランシスコで開催中のイベント「GitHub Universe 2018」で発表しました。

fig1

Token Scanningは文字通り、次のようなコード内にそのまま記述されているトークンを自動的に発見。通知してくれます。

fig2

セキュリティアラートにJavaと.NETが対応

あるプロジェクトが依存している別のプロジェクトやパッケージなどに脆弱性が発見された場合、それを表示してくれる「Security alerts」機能では、これまでのJavaScript、Ruby、Pythonに加え、Javaと.NETへの対応が発表されました。

fig3

GitHubはさまざまなパッケージやライブラリなどの脆弱性に関する情報を管理しており、それら脆弱性が発見されたパッケージなどに依存しているプロジェクトに対してアラートを発する「Security alerts」機能は、昨年のGitHub Universe 2017で発表。JavaScript、Ruby、Pythonでの対応を行ってきました。

あれから1年後となるGitHub Universe 2018で、これにJavaと.NETが加わることになりました。

GitHub Universe 2018

このエントリーをはてなブックマークに追加
follow us in feedly


≫次の記事
AWSの仮想プライベートサーバ(VPS)「Amazon Lightsail」、数クリックでMySQLなどのマネージドデータベースが設定可能に

≪前の記事
[速報]GitHub Actions発表、Dockerコンテナの連係によるワークフローを自由に定義可能。GitHub Universe 2018


カテゴリ



Blogger in Chief

photo of jniino Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed



新着記事 10本


PR - Books


fig

fig

fig