米GitHubは、同社のサービスを利用するすべてのユーザーに対して、プッシュ保護の展開を開始したことを、2月29日(現地時間)に発表した。
同社は2023年8月以降、同社のクラウドサービスを利用するすべてのユーザーに、シークレットが検出された際にコミットを自動でブロックするシークレットスキャンプッシュ保護をオプトインできるようにしており、現在はパブリックリポジトリへのすべてのプッシュに対して、デフォルトでシークレットスキャンプッシュ保護が有効化されている。
今回、新たに展開が開始されたすべてのユーザーを対象とするプッシュ保護では、パブリックリポジトリへのプッシュでサポートされているシークレットが検出された場合に、コミットからシークレットを削除するか、シークレットが安全であると判断した場合にブロックを回避するかを選べるようになった。
なお、今回の変更がアカウントに適用されるまでは1〜2週間かかる場合がある(コードセキュリティと分析の設定でステータスを確認すると、早い段階でのオプトインが可能になる)。
また、プッシュ保護が有効になっている場合でも、(推奨はしないものの)セキュリティ設定でプッシュ保護を完全に無効化できる。ただし、ブロックを回避するオプションは常に保持されるので、プッシュ保護を有効のままにして必要に応じた例外の作成が推奨される。
組織がGitHub Enterpriseプランを利用している場合、GitHub Advanced Securityを追加することで、プライベートリポジトリにシークレットが漏えいしないようにすることも可能となっている。また、包括的なDevSecOpsプラットフォームソリューションの一部として、コードスキャン、AIを利用した自動修正コードの提案、その他の静的アプリケーションセキュリティ(SAST)とともに、シークレットスキャンの他のすべての機能も利用できる。
GitHubのシークレットスキャンは、180超のサービスプロバイダからの200以上のトークンタイプとパターンを保護し、業界最高の精度と最低の誤検知率を備えており、組み合わせて使用することによってパブリックリポジトリへのシークレットの漏えいも防げる。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
