米GitHubは、無料のパブリックリポジトリに対する、無料でのシークレットスキャンの提供を、12月15日(現地時間)に開始した。
GitHubでは、サービスプロバイダとの提携によるシークレットスキャンパートナープログラムを通じて、すべてのパブリックリポジトリで漏えいした認証情報にフラグを立てており、リポジトリをスキャンして200以上のトークン形式を探し、関連するパートナーと協力して共通の顧客を保護している。
2022年には、170万を超える潜在的なシークレットがパブリックリポジトリで公開されていることをパートナーに通知して、トークンの悪用を防止している。
シークレットスキャンアラートを利用することで、コード内の漏えいしたシークレットをユーザーへ直接通知してくれる。より迅速な保護のため、引き続きパートナーへの通知を行うものの、リポジトリの全体的なセキュリティが、ユーザーの管理下に置かれるようになった。
あわせて、自己ホスト型のHashiCorp Vaultのキーが公開されている場合など、パートナーへ通知できないシークレットのアラートも受け取れる。
パブリックリポジトリのシークレットスキャンは、段階的にパブリックベータ版のロールアウトを開始し、2023年1月末までにすべてのユーザーが同機能を無料で使える予定となっている。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
