すべての開発者は、セキュリティ資格情報をソース コードにハードコードするのは良くない考えであることを知っています。 それでも、それは起こります。 これまで GitHub は、そのシークレット スキャン サービスを有料の企業ユーザーのみが利用できるようにしていました。 GitHub の高度なセキュリティ、しかし今日から、Microsoft が所有する会社は、すべてのパブリック GitHub リポジトリで無料でシークレット スキャン サービスを利用できるようにします。
2022年だけでも、同社はパートナーに通知しました シークレット スキャン パートナー プログラム パブリック リポジトリで公開された 170 万を超える潜在的なシークレット。 このサービスは、リポジトリをスキャンして 200 を超える既知のトークン形式を探し、漏洩の可能性をパートナーに警告します。また、独自の正規表現パターンを定義することもできます.
画像クレジット: GitHub
Postmates のスタッフ セキュリティ エンジニアである David Ross 氏は次のように述べています。 「AppSec 側では、多くの場合、コード内の問題を可視化するための最良の方法です。」
現在、コードを GitHub でホストすると、会社はソース コード内の漏洩した秘密について自動的に直接通知します。 これは、通知するパートナーがいないシークレットのアラートを受け取ることも意味します (たとえば、HashiCorp Vault をセルフホストしているなどの理由で)。
サービスの使用を開始するには、GitHub のセキュリティ設定で機能を有効にする必要があります。 ただし、サービスのロールアウトは段階的に行われ、2023 年 1 月末まですべてのユーザーが利用できるわけではありません。
もちろん、漏洩した秘密をスキャンするサービスは GitHub 独自のツールだけではありません。 次のようなオープンソース ツールもあります。 gitLeaks (これは GitHub アクションと統合できます) と、次のような多数のセキュリティ企業 日暮れ そしてチェックポイントの スペクトルただし、それらのサービスはシークレット スキャンをはるかに超える傾向があり、一般的に企業向けです。