GitHub、GitHub Advanced Securityのシークレットスキャンで、シークレットトークンの漏えいを事前に防止
認証情報の保護は、現代のソフトウェア開発の規模と相互関連性によって困難なだけではなく、それらの誤用に起因する情報漏えいや侵害リスクは、デジタル社会を暗雲をもたらしています。GitHubはこれまでに、GitHub Advanced Securityの提供機能であるSceret Scanningによって数千近くのプライベートリポジトリにわたり70万件を超えるシークレットを検出してきました。また、すべてのパブリックリポジトリにおいて、パートナーのパターン (https://docs.github.com/ja/enterprise-cloud@latest/code-security/secret-scanning/secret-scanning-patterns#supported-secrets-for-partner-patterns= ) を無料でスキャンしています。この度、GitHubはGitHub Advanced Securityを導入されているお客様向けに、「git push」の受け入れ前にSecret Scanningを実行することで、漏えいの発生を完全に防ぐオプションを追加しました。
高度に識別可能なシークレットをCommit前にスキャンすることで、事後対応型のセキュリティから事前対応型のセキュリティに移行できるだけでなく、シークレットの漏えいを完全に防ぐことができます。
Secret Scanningに新しく追加されたPush保護機能では、開発ワークフローにスキャンそのものが組み込まれます。開発の生産性に支障をきたすことなくこれを実現するために、Push保護の対象は正確に検出可能なトークンタイプに限定されます。GitHubは、高度に識別可能なパターンを推進するために、昨年、自社のシークレットのフォーマットを変更 (https://github.blog/2021-04-05-behind-githubs-new-authentication-token-formats/ ) し、他のトークン発行者との連携も開始しました。今回は、提供開始と同時に69にのぼる信頼度が高いパターンをサポートすることで、それぞれで開発者が信頼できるSN比(Signal-to-Noise Ratio)を確保しています。
Secret ScanningのPush保護の使用例を見る
GitHubのPush保護機能は、開発者がソースコードをPushすると高信頼度シークレットの有無を確認し、シークレットを特定するとPushをブロックします。高信頼度シークレットの誤検知率が低いため、セキュリティチームは開発者のエクスペリエンスを損なうことなくGitHub内のorganization単位での保護が可能になります。
GitHubは100を超えるトークンタイプを確認し、シークレットの有無を検出します。シークレットが特定された場合、開発者は再度Pushを実行する前にそのシークレットを確認し、コードから排除できます。稀に、直ちに修正を行う必要がない状況もあります。その場合、開発者はシークレットを偽陽性、テストケース、または後で修正する実際のインスタンスとして解決し、先に進むことができます。
GitHubは、Secret ScanningのPush保護が迂回されると、テストケースまたは偽陽性に指定されたシークレットに関しては非公開のセキュリティアラートを生成します。また、後で修正する対象としてフラグ付けされたシークレットについては、開発者とリポジトリ管理者が連携できるよう、公開のセキュリティアラートを生成します。またチームは、組織および企業レベルのセキュリティ概要 (https://github.blog/changelog/2022-03-01-security-overview-for-enterprise-in-beta/ ) を活用し、Secret Scanning関連のすべてのアラートを含め、全体的なセキュリティ状況を追跡できます。
Secret ScanningのPush保護を有効にする
GitHub Advanced Securityを利用しているユーザーは、UIまたはAPI経由で1回クリックするだけで、Secret ScanningのPush保護機能をリポジトリレベルおよびOrganizationレベルで有効にできます。
- Secret Scanning (https://docs.github.com/ja/enterprise-cloud@latest/code-security/secret-scanning/about-secret-scanning )
- Secret ScanningのPush保護 (https://docs.github.com/ja/enterprise-cloud@latest/code-security/secret-scanning/protecting-pushes-with-secret-scanning )
GitHub Advanced Securityの詳細について
GitHub Advanced Securityは、Secret Scanning、Code Scanning、サプライチェーンのセキュリティ機能を提供しています。その機能には、永久に無料で利用できるDependabotアラートおよびDependabotセキュリティアップデートも含まれています。
GitHub Secret Scanningのパートナーの募集
サービスプロバイダーは、GitHubのパートナーになることで、ユーザーをシークレットの漏えいから守ることができます。また高度に識別可能なトークンの発行者様は、ぜひGitHubの新しいPush保護機能で連携いただけます。
GitHub Blog
英語
https://github.blog/2022-04-04-push-protection-github-advanced-security/
日本語
https://github.blog/jp/2022-04-11-push-protection-github-advanced-security/
GitHubに関する情報は、こちらからもご覧いただけます。
Blog: (英語) https://github.blog (日本語) https://github.blog/jp
Twitter: (英語) @github( https://twitter.com/github )
(日本語) @GitHubJapan( https://twitter.com/githubjapan )
【GitHub について】https://github.co.jp
GitHub(ギットハブ)は世界で7,300万人にのぼる開発者および400万以上の組織に利用されるソフトウェア開発プラットフォームです。プログラミング環境にオープンな会話と協調を重んじるコミュニケーションによって、コラボレーションを促進する開発環境を提供しています。これらの開発を実現するワークフローで必要となるコードレビュー、プロジェクトおよびチームマネージメント、ソーシャルコーディング、ドキュメント管理などに、これまで以上の効率性と透明性をもたらし、より高速かつ品質の高いソフトウェア開発を支援しています。
GitHubは多様なユースケースに適した開発プラットフォームを用意しており、オープンソースプロジェクトから企業における機密性の高いソフトウェア開発までに対応できます。無料で利用できるパブリックリポジトリは、オープンソースプロジェクトにて多く利用されています。プライベートリポジトリが利用できる有償サービスとして GitHub Enterprise や GitHub One などのプランも提供してい
ます。2008年に米国サンフランシスコで創業したGitHub,Inc.は、初の海外支社として、2015年に日
本支社を開設しました。
【製品/サービスに関するお問い合わせ先】
ギットハブ・ジャパン営業およびサポート窓口
Email: jp-sales@github.com