オープンソースプロジェクトおよびビジネスユースを含む、ソフトウェアの開発プラットフォームを提供するGitHub, Inc.(本社:米国サンフランシスコ)は、2023年2月28日(米国時間)にGitHub上のすべてのパブリックリポジトリでSecret scanningアラートを無料で利用できるようになったと発表しました。管理者はワンクリックでアラートを有効化できます。
[画像1]https://user.pr-automation.jp/simg/1306/68930/700_368_2023030915174864097a0c5bd42.png
GitHubは、2022年12月に、すべてのパブリックリポジトリに対して、Secret scanningアラートのパブリックベータ版(https://github.blog/jp/2022-12-22-leaked-a-secret-check-your-github-alerts-for-free/
)の提供開始を発表しました。ユーザーは使用しているすべてのリポジトリに対してSecret scanningアラートを有効化し、コード、Issue、説明文、コメントなどリポジトリの履歴全体にわたりシークレットの漏洩について通知を受け取ることができます。
リリース以降、7万ものパブリックリポジトリでSecret scanningアラートが有効化され、漏洩したシークレットのトリアージに大きく貢献しています。
GitHubのSecret scanningは、GitHubパートナープログラムに参加している100社以上のサービスプロバイダーと連携しており、シークレット漏洩時のユーザーへのアラート通知に加えて、パートナーへの通知も継続します。Secret scanningアラートを有効化すると、パートナーには通知できないアラート(例えば、セルフホスト型のキーが公開された場合など)が届くようになります。その際、アラートに対して取られたアクションの完全な監査ログも提供されます。
大規模なリスクが完全に可視化
DevOpsコンサルタント兼トレーナーである@rajbos(https://github.com/rajbos
)は、約14,000のリポジトリに対してSecret scanningを有効化し、1,000件を超えるシークレットを発見しました。
Robは次のように述べています。「私自身の実体験から、なぜ、すべての人がSecret scanningを有効にすべきか証明されました。14,000のパブリックGitHub Actionリポジトリを調査したところ、1,000件以上のシークレットを発見したのです。私自身が多くの人にGitHub Advanced Securityの使い方についてトレーニングを行ってきたにも関わらず、今回の調査で自身のリポジトリにシークレットがあることがわかりました。この業界での経験は浅くないにも関わらず、自分自身にも起きていました。それくらい、意図せずシークレットを含めてしまうことがあるということです。Secret scanningを有効にしておくと、シークレットに関する通知が届きます。パートナーが自動で取り消しを行うことにより、コードの安全性が少し高まります」
Robの経験の全容については、下記ブログ記事から、ご確認いただけます。
https://devopsjournal.io/blog/2023/01/22/Making-the-case-for-secret-scanning
ワンクリックで有効化が可能
パブリックリポジトリの所有者や管理者であれば、誰でもSecret scanningアラートを有効化できます。企業の管理者やOrganizationのオーナーは、複数のリポジトリに対して一括で有効化できます。有効化するには、[設定] タブに移動して、[セキュリティ] の下にある [コードのセキュリティと分析] をクリックし、[Secret scanning] の横にある [有効] をクリックしてください。
[画像2]https://user.pr-automation.jp/simg/1306/68930/700_628_2023030915180564097a1d8c79a.png
リポジトリのSecret scanningアラートを有効にする詳しい方法については、GitHubのドキュメント(https://docs.github.com/ja/code-security/secret-scanning/about-secret-scanning
)をご確認ください。
GitHub Secret scanningパートナーになる
共有ユーザーをシークレットの漏洩から保護することに興味があるサービスプロバイダーは、Secret scanningパートナープログラム(https://docs.github.com/ja/code-security/secret-scanning/secret-scanning-partner-program
)への参加をご検討ください。現在、GitHubは200個以上のパターンと100社以上のパートナー(https://docs.github.com/ja/code-security/secret-scanning/secret-scanning-patterns
)をサポートしています。ご参加に際しては、secret-scanning@github.comまでご連絡ください。
GitHub Blog
英語:https://github.blog/2023-02-28-secret-scanning-alerts-are-now-available-and-free-for-all-public-repositories/
GitHubに関する情報は、こちらからもご覧いただけます。
Blog: (英語) https://github.blog
(日本語) https://github.blog/jp
Twitter: (英語) @github( https://twitter.com/github
)
(日本語) @GitHubJapan( https://twitter.com/githubjapan
)
【GitHub について】https://github.co.jp
GitHubは「開発者ファースト」の思想のもと、開発者のコラボレーションおよび困難な問題解決、世界にとって重要なテクノロジーの創出を促進させるための開発環境を提供しています。また、ソフトウェアを起点とする新たな未来を創造し、世界に変化をもたらすため、個人または企業規模に関わらず、ベストなコラボレーションができるコミュニティの拡大を支援しています。
安全なソフトウェア開発には、日常のワークフローの中でできる限り早いタイミングで脆弱性を発見し、対処できる仕組みづくりが重要です。GitHubは、企業とオープンソースのメンテナーが、ソフトウェア開発のライフサイクル全体を通じて、安全にコーディングできるようにするツールとプロセスを構築しています。
GitHubは、開発者がコードを開発、共有、そしてリリースする場です。学生や趣味で開発を行う人、コンサルタント、エンタープライズの開発者、経営者など、初心者から高い専門性をもつ世界8,300万人以上の方々および400万以上のOrganizationに利用されています。GitHubは単なるソースコードを共有する場ではありません。GitHubはオープンソースコラボレーションの源としてさまざまなソリューションを提供します。
プレスリリース詳細へ https://user.pr-automation.jp/r/68930
からの記事と詳細 ( GitHub、すべてのパブリックリポジトリに対してSecret scanning ... - 紀伊民報 )
https://ift.tt/7c26rXT
0 Comments:
Post a Comment