GitHub、コード中に書いてはいけないアクセストークンを発見、通知してくれる「Secret scanning」機能、プライベートリポジトリで正式対応

2021年4月6日

GitHubは、本来ソースコード中に書くべきではないアクセストークンなどを、コードやアーカイブから発見し通知してくれるSecret scanning機能がプライベートリポジトリでも正式な機能として利用可能になったことを明らかにしました

アクセストークンは、APIなどを呼び出す際にそのコードの実行者が適正な呼び出し権限を持つことを示すためなどの目的で用いられるもので、一般的には特殊な文字列で表されます。

何らかの原因でアクセストークンがコード内にそのまま記述されると、本来そのアクセストークンを知るべきでない人物にまでアクセストークンが利用可能になります。すると不正にAPIが利用されたり、知らぬ間にアクセストークン本来の持ち主にAPI利用料が請求される、といった事故につながりかねません。

GitHubは2018年にこの機能を発表し(発表当時の名称は「Token Scanning」)、2020年5月にはプライベートリポジトリでベータ版として利用可能になっていました。

正式版では、識別可能なトークン、例えばAWSのアクセスキーやGoogle CloudのAPIキー、SlackのAPIトークン、TwillioのAPIキーなどの種類が35種類以上に拡大

トークンを発見した際に、APIやWebhook経由でアラートを発することも可能になり、また管理者とコミットオーサーにも通知が行くようになりました。

複数のプロジェクトを持つセキュリティ管理者のための画面を追加

GitHubはまた、複数のプロジェクトを担当するセキュリティ管理者が、脆弱性情報などをまとめて参照できる「security overview for organizations and teams」をベータ版として提供開始したことも発表しました。

この機能では、担当する複数のプロジェクトのセキュリティ状況を、組織やチームの「Security」タブでまとめて参照できる画面が追加されました。

fig

また、特に注意しておきたいプロジェクトをいくつか取り上げて、その状況を見ることもできるようになっています。

fig

昨日の記事ではGitLabがバグや脆弱性のツール「GitLab Protocol Fuzzer Community Edition」をオープンソース化したことを取り上げました。

GitHubもGitLabも、コードを記述し、ビルドし、テストし、デプロイするという一連の開発サイクルをカバーする包括的なツールとして製品を強化しています。

そのなかでコードの欠陥をできるだけ自動的に検出する機能は、迅速にソフトウェアを開発する環境を実現する上で欠かせないものとなっているようです。

両社ともにいま、その部分の機能強化を進める局面にあるように見えます。

参考:GitLab、バグや脆弱性の検出ツール「GitLab Protocol Fuzzer Community Edition」をオープンソースで公開。APIやHTTP経由などでファジングを実行

このエントリーをはてなブックマークに追加
follow us in feedly




カテゴリ

Blogger in Chief

photo of jniino

Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed


最新記事10本