GitHub、コードに書いてはいけないシークレットの検知機能をすべてのパブリックリポジトリに無料で正式提供開始

GitHubは、ソースコード中に書くべきではないパスワードやアクセストークンなどのシークレットをコードやアーカイブから発見し通知してくれる「Secret scanning」機能を、すべてのパブリックリポジトリに無料で正式機能として提供開始したことを発表しました

The secret scanning alert experience is now generally available for public repositories. Read on to learn how you can enable it with one click today. https://t.co/KAHVs2ipho

— GitHub (@github) February 28, 2023

パスワードやアクセストークンなどのシークレットは、APIなどを呼び出す際にそのコードの実行者が適正な呼び出し権限を持つことを示すためなどの目的で用いられるもので、一般的には特殊な文字列で表されます。

プログラマの不注意や手抜きなど、何らかの原因でシークレットがコード内にそのまま記述されると、本来そのシークレットを知るべきでない人物にまでシークレットを利用して不正にAPIなどを呼び出しできるようになります。それにより守るべき情報が外部に漏洩したり、知らぬ間にAPI利用料が請求されたりする事故につながりかねません。

以前から不用意にソースコードに書かれたシークレットを素早く盗み取って不正アクセスに利用する攻撃の手口は活発化しており、ソースコードからのシークレット漏洩の危険性は高まっていました。

この機能は2020年5月に、まずプライベートリポジトリでベータ版として利用可能になり、昨年（2022年）12月にはパブリックリポジトリに対してもベータ版として提供していた機能でした。それが今回、正式版の機能となりました。