GitHub、コードに書いてはいけないシークレットの検知機能をすべてのパブリックリポジトリに無料で正式提供開始

今回は「GitHub、コードに書いてはいけないシークレットの検知機能をすべてのパブリックリポジトリに無料で正式提供開始」についてご紹介します。

関連ワード (利用可能、正式版、発見等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


GitHubは、ソースコード中に書くべきではないパスワードやアクセストークンなどのシークレットをコードやアーカイブから発見し通知してくれる「Secret scanning」機能を、すべてのパブリックリポジトリに無料で正式機能として提供開始したことを発表しました

The secret scanning alert experience is now generally available for public repositories. Read on to learn how you can enable it with one click today. https://t.co/KAHVs2ipho

— GitHub (@github) February 28, 2023

パスワードやアクセストークンなどのシークレットは、APIなどを呼び出す際にそのコードの実行者が適正な呼び出し権限を持つことを示すためなどの目的で用いられるもので、一般的には特殊な文字列で表されます。

プログラマの不注意や手抜きなど、何らかの原因でシークレットがコード内にそのまま記述されると、本来そのシークレットを知るべきでない人物にまでシークレットを利用して不正にAPIなどを呼び出しできるようになります。それにより守るべき情報が外部に漏洩したり、知らぬ間にAPI利用料が請求されたりする事故につながりかねません。

以前から不用意にソースコードに書かれたシークレットを素早く盗み取って不正アクセスに利用する攻撃の手口は活発化しており、ソースコードからのシークレット漏洩の危険性は高まっていました。

この機能は2020年5月に、まずプライベートリポジトリでベータ版として利用可能になり、昨年(2022年)12月にはパブリックリポジトリに対してもベータ版として提供していた機能でした。それが今回、正式版の機能となりました。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Go言語、実行時プロファイル情報による最適化「Profile-guided optimization」が正式機能に。Go 1.21リリース
Go
2023-08-21 20:08
アマゾンのオーバーザトップ事業IMDb TVやTwitchなどが好調、総視聴者数1億2000万を突破
ネットサービス
2021-05-05 03:36
ドコモの「ahamo」、申し込み集中で配送に遅れ 4月中旬以降の手続き求める
企業・業界動向
2021-03-30 01:04
マイクロソフト、SolarWinds問題の調査完了–Azureなどの一部コード盗難も被害は軽微
IT関連
2021-02-19 17:07
自動操縦フライトスタートアップのXwingが約43.5億円の資金を調達
モビリティ
2021-04-18 08:02
FacebookとInstagramのAI生成画像キャプションがアップデート、より詳細な情報を提供
ネットサービス
2021-01-23 06:06
企業の6割がサイバーリスクに対して受動的なアプローチ–ウィズセキュア調査
IT関連
2023-04-06 07:46
「YouTube Kids」卒業の子供向け監視付きYouTubeアカウントサービス始動
アプリ・Web
2021-02-26 13:17
Google、モノリスとマイクロサービスのいいとこ取りをする「Service Weaver」フレームワークをオープンソースで公開
Go
2023-03-07 07:14
「エクスペリエンスマネジメント」はミッションクリティカルになったか
IT関連
2023-03-04 05:53
IT投資や新規プロジェクトの妥当性について支持を得るには–5つのポイント
IT関連
2022-04-05 03:49
テック業界に対するリナ・カーン氏の時宜を得た懐疑論はFTCの承認公聴会を新鮮かつ友好的な方向に導くものだ
パブリック / ダイバーシティ
2021-04-29 08:05
アイロボットが自動ゴミ収集機付属で10万円以下の掃除ロボ「ルンバi3」発表、数カ月はゴミ捨て不要
ハードウェア
2021-02-18 16:01
多要素認証の回避を試みる攻撃者、警戒すべきポイントは?
IT関連
2022-08-25 23:00