このページの本文へ

GitHub、「secret scanning」の機能をアップデート

2022年12月23日 17時50分更新

文● ASCII

  • この記事をはてなブックマークに追加
  • 本文印刷

 GitHubは、12月15日(米国時間)にsecret scanningの機能のアップデートを発表した。

 GitHub Advanced Securityを利用することで、企業はプッシュ保護を用いてシークレットの漏洩を阻止し、プッシュ保護を4月にリリースして以来、既に100種類、8000件以上のシークレット漏洩を阻止してきた。

 今回のアップデートで、カスタムパターンを定義している企業は、定義済みのカスタムパターンに対してプッシュ保護を有効化をすることが可能になった。カスタムパターンのプッシュ保護はパターンごとに設定でき、どのパターンを公開するか(もしくはどのパターンを最初にドラフトモードとして、徐々に改良していくか)を選べるのと同様に、プッシュ保護を行なうパターンを誤検知に基づいて決定することができる。

 カスタムパターンの定義は、リポジトリ、Organization、およびEnterpriseのレベルで行なえる。また、カスタムパターンのプッシュ保護をOrganizationまたはリポジトリのレベルで有効化することも可能となった。プッシュ保護を有効にすると、コントリビュータがプッシュしようとするコードに定義済みパターンと一致するパターンが含まれている場合に、ブロックが適用される。

 Secret scanningアラートは、すべてのパブリックリポジトリで無料で利用することができる。コードにシークレットの漏洩がある場合にユーザーに直接通知され、きわめて迅速な保護を実現するためにパートナーにも通知するが、リポジトリに関する包括的な保護手段をユーザー自身が所有できるようになった。また、セルフホスト型のHashiCorp Vaultのキーが公開されている場合など、パートナーには通知できないシークレットについてのアラートも通知される。すべてのアラートをいつでも簡単に追跡して、漏洩元を詳しく調査したり、アラートに対して実行されるアクションを監査できる。

 リリース全文はこちらを参照

■関連サイト

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード