2022年12月に、すべてのパブリックリポジトリに対して、Secret scanningアラートのパブリックベータ版の提供開始をお知らせしました。リリース以降、7万ものパブリックリポジトリでSecret scanningアラートが有効化され、漏洩したシークレットのトリアージにとても大きく貢献しています。
GitHubは、すべてのパブリックリポジトリを対象に、無料で利用できるSecret scanningアラートの提供を開始しました。お使いのすべてのリポジトリに対してSecret scanningアラートを有効化し、コード、Issue、説明文、コメントなどリポジトリの履歴全体にわたりシークレットの漏洩について通知を受け取ることができます。
GitHubのSecret scanningは、GitHubパートナープログラムに参加している100社以上のサービスプロバイダーと連携しています。シークレット漏洩時のユーザーへのアラート通知に加えて、パートナーへの通知も継続します。ただし、Secret scanningアラートを有効化すると、パートナーには通知できないアラート(例えば、セルフホスト型のキーが公開された場合など)が届くようになります。その際、アラートに対して取られたアクションの完全な監査ログも提供されます。
これにより、大規模なリスクが完全に可視化されます。
実際にあった一例をご紹介します。DevOpsコンサルタント兼トレーナーである@rajbosは、約14,000のリポジトリに対してSecret scanningを有効化し、1,000件を超えるシークレットを発見しました。Robは次のように述べています。「私の調査によって、なぜ、すべての人がSecret scanningを有効にすべきかが証明されました。14,000のパブリックGitHub Actionリポジトリを調査したところ、1,000件以上のシークレットを発見したのです!」
「私自身が多くの人にGitHub Advanced Securityの使い方についてトレーニングを行ってきたというのに、今回の調査で自身のリポジトリにシークレットがあることがわかりました」
この業界での経験は浅くないにも関わらず、自分自身にも起きていました。それくらい、うっかりシークレットを含めてしまうことがあるということです。
「Secret scanningを有効にしておくと、シークレットに関する通知が届きます。パートナーが既に自動で取り消しているでしょうから、コードの安全性が少し高まります。」Robの経験の全容については、こちらのブログ記事でご覧いただけます。
ワンクリックで始められます
パブリックリポジトリの所有者や管理者であれば、どなたでもSecret scanningアラートを有効化できます。企業の管理者やOrganizationのオーナーは、複数のリポジトリに対して一括で有効化できます。有効化するには、[設定] タブに移動して、[セキュリティ] の下にある [コードのセキュリティと分析] をクリックし、[Secret scanning] の横にある [有効] をクリックしてください。
リポジトリのSecret scanningアラートを有効にする詳しい方法については、GitHubのドキュメントをご覧ください。
GitHub Secret scanningパートナーになる
共有ユーザーをシークレットの漏洩から保護することに関心があるサービスプロバイダーは、Secret scanningパートナープログラムへの参加をご検討ください。現在、GitHubは200個以上のパターンと100社以上のパートナーをサポートしています。ご参加に際しては、secret-scanning@github.com宛てにメールをお送りください。