[速報]GitHub、見られてはいけないコード中のアクセストークンを発見し通知してくれる「Token Scanning」発表。GitHub Universe 2018

2018年10月17日

クラウドサービスが充実してきたことで、コードからクラウドAPIを呼び出して利用することが一般的になってきました。クラウドAPIを呼び出す際には、適正な呼び出し権限を持つことを示すため、あるいは呼び出す側を特定して課金するなどの目的でアクセストークンを用いることがあります。

アクセストークンは第三者に知られないように安全に管理し利用する必要がありますが、何らかの原因でアクセストークンがコード内にそのまま記述されてそのコードがGitHubなどで公開された結果、悪意のある第三者に使われ、アクセストークン本来の持ち主に膨大な利用料金が請求される、といった事故がしばしば起きています。

GitHubはこうした事故を防ぐため、コード内に記述されたアクセストークンを自動的に発見し、通知してくれる「Token Scanning」機能を、サンフランシスコで開催中のイベント「GitHub Universe 2018」で発表しました。

fig1

Token Scanningは文字通り、次のようなコード内にそのまま記述されているトークンを自動的に発見。通知してくれます。

fig2

セキュリティアラートにJavaと.NETが対応

あるプロジェクトが依存している別のプロジェクトやパッケージなどに脆弱性が発見された場合、それを表示してくれる「Security alerts」機能では、これまでのJavaScript、Ruby、Pythonに加え、Javaと.NETへの対応が発表されました。

fig3

GitHubはさまざまなパッケージやライブラリなどの脆弱性に関する情報を管理しており、それら脆弱性が発見されたパッケージなどに依存しているプロジェクトに対してアラートを発する「Security alerts」機能は、昨年のGitHub Universe 2017で発表。JavaScript、Ruby、Pythonでの対応を行ってきました。

あれから1年後となるGitHub Universe 2018で、これにJavaと.NETが加わることになりました。

GitHub Universe 2018

このエントリーをはてなブックマークに追加
follow us in feedly


関連タグ プログラミング言語 / Git / GitHub



タグクラウド(β版)

クラウド / AWS / Azure / Google Cloud
コンテナ / Docker / Kubernetes
クラウドネイティブ / サーバレス
クラウド障害 / 運用・監視

プログラミング言語 / 開発ツール
JavaScript / Java / .NET / WebAssembly
HTML/CSS / Web標準

アジャイル開発 / スクラム / DevOps / CI/CD
ソフトウェアテスト・品質
ローコード/ノーコード開発

データベース / RDB / NoSQL / 機械学習・AI
Oracle Database / MySQL / PostgreSQL
Office / 業務アプリケーション

ネットワーク / HTTP / QUIC / セキュリティ
OS / Windows / Linux / VMware
ハードウェア / サーバ / ストレージ

業界動向 / 働き方 / 給与・年収
編集後記 / 殿堂入り / おもしろ

全てのタグを見る

Blogger in Chief

photo of jniino

Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed


最新記事10本