GitHub Advanced Securityを利用する組織の管理者は、ワンクリックでプッシュ時にカスタムパターンを保護することができます。
アプリケーションセキュリティに関する特に有効なイニシアチブは、開発者の作業効率の向上に役立ちます。脆弱性を修正するには、その脆弱性がいつコードに存在しているかを把握する必要がありますが、そもそも、脆弱性自体を防ぐことができたらどうでしょうか?
GitHub Advanced Securityを利用することで、企業はプッシュ保護 を用いてシークレットの漏洩を阻止し、下流工程での修正時間を数百時間も節約できます。プッシュ保護を4月にリリースして以来、既に100種類、8,000件以上のシークレット漏洩を阻止してきました。
カスタムパターンを定義している企業は、その定義済みのカスタムパターンに対してプッシュ保護を有効化できるようになりました。 カスタムパターンのプッシュ保護はパターンごとに設定できます。つまり、どのパターンを公開するか(もしくはどのパターンを最初にドラフトモードとして、徐々に改良していくか)を選べるように、プッシュ保護を行うパターンを誤検知に基づいて決定することができます。
シークレットをプッシュしようとすると、すぐにわかります。GitHubのsecret scanningのプッシュ保護のおかげで、シークレットがコードベースにプッシュされることを防いでもらえるので、膨大な時間を節約できます。仮に外部のスキャンツールだけを利用して、シークレットが既に公開された後でリポジトリをスキャンする場合、シークレットを即座に取り消したうえで、コードをリファクタリングする必要があります。GitHubのsecret scanningとプッシュ保護を開発者のフローに直接統合することで、時間を節約できるうえに、ベストプラクティスについて開発者に情報を提供することができます
プッシュ保護の有効化
カスタムパターンの定義は、リポジトリ、Organization、およびEnterpriseのレベルで行えます。さらに、カスタムパターンのプッシュ保護をOrganizationまたはリポジトリのレベルで有効化できるようになりました。プッシュ保護を有効にすると、コントリビュータがプッシュしようとするコードに定義済みパターンと一致するパターンが含まれている場合に、ブロックが適用されます。
カスタムパターンを定義するには、Organizationのコードセキュリティ設定ページに移動します。GitHub Advanced Securityとsecret scanningを有効にすると、UIから新しいカスタムパターンを作成できます。また、公開前にカスタムパターンをドライランできます。
パターンを公開し、そのパターンによって生成されるアラートに誤検知が少ないことを確認できたら、カスタムパターンのページで[Push protection]の横にある[Enable]をクリックしましょう。GitHubでは、カスタムパターンのアラートを定期的にチェックして、開発者のために誤検知のノイズをできるだけ少なく抑えられているか確認することを推奨しています。プッシュ保護を戦略的に活用することで、コントリビュータがセキュリティアラートを信頼し、必要に応じて適切に処理できるようになります。
secret scanningの詳細
secret scanningアラートは、すべてのパブリックリポジトリで無料で利用できます。また、GitHub Advanced Securityの一部として、プッシュ保護とプライベートリポジトリのカバレッジも提供します。これには、code scanningやサプライチェーンセキュリティのインサイトも含まれます。GitHub Advanced Securityの導入やデモについては、GitHubセールスパートナーにご連絡ください。
GitHub secret scanningパートナーになる
共有ユーザーをシークレットの漏洩から保護することに関心があるサービスプロバイダーは、secret scanningパートナープログラムへの参加をご検討ください。現在、GitHubは200個以上のパターンと100社以上のパートナーをサポートしています。ご参加に際しては、secret-scanning@github.com宛てにメールをお送りください。
