ソフトウェア開発支援ソリューションの開発・提供をするSiderは、同社が提供するコードレビューSaaS「Sider」において、クレデンシャル情報の流出を防ぐセキュリティ機能「Sider Secret Scan」の提供を開始したことを、7月27日に発表した。
高品質で継続的なソフトウェア開発を目指すDevOpsの取り組みの中で、開発生産性のためにインフラをコード化して制御するIaCが広まったものの、秘密鍵などの公開してはならない情報がGitHubリポジトリなどに含まれる事故も多くなっている。一方で、日々更新されるソースコードのチェックを人力で実施するのは作業負荷が高い。また、セキュリティチェックを自動化するサービスでも、広範なチェック事項をカバーするために多数のサービスを併用するのは費用やサービス管理の手間などが負担になる。
そこで、同社はコードレビューSaaS「Sider」において、APIのシークレットキー、RSA秘密鍵などの秘密情報がリポジトリに含まれていないか自動的に検査するSecret Scanの提供を開始。GitHubでコードなどのPull Requestを受けると自動的に検査する。加えて、現在のリポジトリ・ソースコード内に秘密情報が含まれないかも検査可能。
秘密情報を検知した際の画面
同機能は、Siderの全てのユーザーが追加料金なく利用することができる。これにより、開発生産性を向上させる取り組みの延長として、費用や管理の手間といったコストなくセキュリティ対策を効率化できる。
Secret Scanは、検査対象のリポジトリを設定する「Tools」の画面から、Secret Scanの項目をEnable(有効)にすることで使用可能。今後は、Siderの標準設定としてSecret Scanを有効にする予定となっている。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
