GitHub上のパブリックリポジトリで漏洩したシークレットを無料で追跡できるようになりました。Secret scanningアラートを使えば、GitHub内で流出したシークレットを追跡し、対処することができます。
データ漏洩の原因として特に多いのがシークレットや認証情報を公開してしまうことですが、追跡が十分に行われることはあまり多くありません 1。こうしたデータ漏洩は特定までに平均327日かかり、認証情報の漏洩が深刻な結果につながる可能性があることが明らかとなっています。しかし依然として、企業は大規模な漏洩の検出や迅速な対応、公開されてしまったシークレットの修正に苦労しています。
GitHubでは、Secret scanningパートナープログラム. を通じて多くのサービスプロバイダーと提携し、すべてのパブリックリポジトリを対象に、漏洩した認証情報にフラグ付けを行っています。200個を超えるトークンフォーマットに基づいてリポジトリをスキャンし、関連のあるパートナーと協力して、共通のお客様を保護しています。2022年には、パブリックリポジトリで公開されている170万個以上の潜在的なシークレットをパートナーに通知し、トークンの悪用を阻止しました。
GitHubは、GitHubコミュニティのすべての無料パブリックリポジトリに対して、無料で利用できるSecret scanningの提供を開始しました。
Secret scanningアラートは、コードにシークレットの漏洩がある場合にユーザーに直接通知します。きわめて迅速な保護を実現するためにパートナーにも通知しますが、リポジトリに関する包括的な保護手段をユーザーの皆さん自身が所有できるようになりました。また、セルフホスト型のHashiCorp Vaultのキーが公開されている場合など、パートナーには通知できないシークレットについてのアラートも通知します。すべてのアラートをいつでも簡単に追跡して、漏洩元を詳しく調査したり、アラートに対して実行されるアクションを監査できます。
パブリックリポジトリでSecret scanningアラートを活用することで、シークレットの公開を阻止し、安心してオープンソースを利用することができます
Secret scanningのおかげで、対処すべき重要な事象を多く見つけることができました。AppSec側としては、コードに含まれる問題を可視化するための最良の方法であることが多いです
利用を開始するには
パブリックリポジトリを対象に、パブリックベータ版Secret scanningの段階的な展開を開始しており、2023年1月末までに、すべてのユーザーがこの機能を利用できるようになる予定です。早期の利用を開始したい場合や、ご質問またはフィードバックがある場合は、コードセキュリティディスカッションでリクエストを送信してください。
リポジトリでSecret scanningアラートを利用できるようになったら、[Code security and analysis]設定の下にあるリポジトリの設定でアラートを有効化できます。検出されたシークレットを確認するには、リポジトリの[Security ]タブに移動し、サイドパネルの[Vulnerability alerts ]の下にある[Secret scanning ]を選択します。ここでは、検出されたシークレットが一覧で表示されており、いずれかのアラートをクリックすると、漏洩シークレット、その場所、修正のための推奨アクションが示されます。
リポジトリのSecret scanningアラートを有効にする方法について、詳しくは、GitHubのドキュメントを参照してください。
GitHub Secret scanningパートナーになる
共有ユーザーをシークレットの漏洩から保護することに関心があるサービスプロバイダーは、Secret scanningパートナープログラムへの参加をご検討ください。現在、GitHubは200個以上のパターンと100社以上のパートナーをサポートしています。ご参加に際しては、secret-scanning@github.com宛てにメールをお送りください。
1 IBM 「Cost of a Data Breach 2022」 https://www.ibm.com/reports/data-breach
