GitHub、無料のパブリックリポジトリユーザーにも、コード内のシークレットを検知してくれる「Secret scanning」を無料提供へ

今回は「GitHub、無料のパブリックリポジトリユーザーにも、コード内のシークレットを検知してくれる「Secret scanning」を無料提供へ」についてご紹介します。

関連ワード （事前、公開、連係等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

あるアプリケーションからデータベースやWebサービスのAPIなどにアクセスする場合、正規のアクセスであることを証明するなどの目的でIDとパスワードのセットやアクセストークンなどを必要とすることはよくあります。

こうした、いわゆるシークレットなどと呼ばれる重要な情報はコードに書くべきではありませんが、それでもしばしばパブリックリポジトリのコード中に誤って書き込まれ、公開されてしまうという事故が絶えません。

GitHubはこれまで、コード中のシークレットを検知してくれる「Secret scanning」機能を有償のユーザーに対して提供してきていました。

参考：GitHub、コード中に書いてはいけないアクセストークンを発見、通知してくれる「Secret scanning」機能、プライベートリポジトリで正式対応

また、主にシークレットを要求する側となるクラウドベンダやサービスベンダなどのパートナーに対しても、パブリックリポジトリ内にパートナーのシークレットが発見された場合には該当するパートナーへ通知を行うことで事故を可能な限り防ぐといった対応をしてきました。

このパートナープログラムでは、パートナーが事前にシークレット検知のための正規表現をGitHubに届けることができるようになっており、GitHubとパートナーが連係して漏洩してしまったシークレットの悪用に対応するわけです。

そして今回、GitHubはこのSecret sanning機能を無料でパブリックリポジトリを利用しているユーザーに対しても提供を開始すると発表しました。

今後は、万が一パブリックリポジトリのコード内にシークレットが検知された場合、ユーザーにも直接通知されるようになります。

We’ve launched our secret scanning alert experience for free for all public repositories. You can now proactively detect any leaked secrets that may be exposed in your code and have remediation recommendations – all within the GitHub UI. https://t.co/MIXYU6sdB7

— GitHub (@github) December 15, 2022

無料のパブリックリポジトリに対するSecret sanning機能は、パブリックベータとして順次展開されていく予定で、来年（2023年）1月末までには全ユーザーに展開される予定です。