GitHub、無料のパブリックリポジトリユーザーにも、コード内のシークレットを検知してくれる「Secret scanning」を無料提供へ

2022年12月21日

あるアプリケーションからデータベースやWebサービスのAPIなどにアクセスする場合、正規のアクセスであることを証明するなどの目的でIDとパスワードのセットやアクセストークンなどを必要とすることはよくあります。

こうした、いわゆるシークレットなどと呼ばれる重要な情報はコードに書くべきではありませんが、それでもしばしばパブリックリポジトリのコード中に誤って書き込まれ、公開されてしまうという事故が絶えません。

GitHubはこれまで、コード中のシークレットを検知してくれる「Secret scanning」機能を有償のユーザーに対して提供してきていました。

参考:GitHub、コード中に書いてはいけないアクセストークンを発見、通知してくれる「Secret scanning」機能、プライベートリポジトリで正式対応

また、主にシークレットを要求する側となるクラウドベンダやサービスベンダなどのパートナーに対しても、パブリックリポジトリ内にパートナーのシークレットが発見された場合には該当するパートナーへ通知を行うことで事故を可能な限り防ぐといった対応をしてきました。

このパートナープログラムでは、パートナーが事前にシークレット検知のための正規表現をGitHubに届けることができるようになっており、GitHubとパートナーが連係して漏洩してしまったシークレットの悪用に対応するわけです。

そして今回、GitHubはこのSecret scanning機能を無料でパブリックリポジトリを利用しているユーザーに対しても提供を開始すると発表しました。

今後は、万が一パブリックリポジトリのコード内にシークレットが検知された場合、ユーザーにも直接通知されるようになります。

無料のパブリックリポジトリに対するSecret scanning機能は、パブリックベータとして順次展開されていく予定で、来年(2023年)1月末までには全ユーザーに展開される予定です。

このエントリーをはてなブックマークに追加
follow us in feedly


関連タグ 開発ツール / GitHub / Microsoft



タグクラウド(β版)

クラウド / AWS / Azure / Google Cloud
コンテナ / Docker / Kubernetes
クラウドネイティブ / サーバレス
クラウド障害 / 運用・監視

プログラミング言語 / 開発ツール
JavaScript / Java / .NET / WebAssembly
HTML/CSS / Web標準

アジャイル開発 / スクラム / DevOps / CI/CD
ソフトウェアテスト・品質
ローコード/ノーコード開発

データベース / RDB / NoSQL / 機械学習・AI
Oracle Database / MySQL / PostgreSQL
Office / 業務アプリケーション

ネットワーク / HTTP / QUIC / セキュリティ
OS / Windows / Linux / VMware
ハードウェア / サーバ / ストレージ

業界動向 / 働き方 / 給与・年収
編集後記 / 殿堂入り / おもしろ

全てのタグを見る

Blogger in Chief

photo of jniino

Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed


最新記事10本