米GitHubは、レポジトリ内に保存した認証情報を検知して管理者に伝えるサービス「Secret Scanning」の提供を2月28日(現地時間)に正式に始めた。Secret Scanningは2022年12月から、パブリック・ベータの形で提供を始めていたが、今回、正式に提供開始となった。
Secret Scanningは、ソース・コードやGitHub Issues、リポジトリの内容を説明するファイル、プル・リクエストへのコメントなど、レポジトリ内に残っている記録を調べ、データベースへの接続や、他のサービスの利用に必要な認証情報や秘密鍵、トークンなどを検知し、リポジトリの管理者に知らせるサービスだ。このサービスを利用することで、リポジトリに認証情報を保存するミスを防げる。
また、認証情報を見つけたときは、その認証情報を発行したサービス事業者にも通知する。通知を受けたサービス事業者は、認証情報を取り消して新しいものを発行し直したり、ユーザーに直接連絡するなどの対応を取ることで、認証情報の悪用を防げる。
GitHubは今回、インターネットで公開しているパブリック・リポジトリを対象に、Secret Scanningのサービスを無償で提供する。利用するには、簡単な設定変更が必要になる。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
