GitHub の秘密のスキャンが PyPI や RubyGems の安全性を護る

GitHub now scans for accidentally-exposed PyPI, RubyGems secrets

2021/06/09 BleepingComputer — 最近の GitHub は、PyPI と RubyGems のレジストリにおける機密情報を含むリポジトリに対して、スキャン機能を拡張している。それにより、Ruby や Python の開発者が作成した、何百万ものアプリケーションの保護が実現される。つまり、開発者たちは、GitHub の公開リポジトリの中に、何らかの機密情報や認証情報を不用意にコミットしている可能性があるのだ。

そして昨日、GitHub は、PyPI や RubyGems の機密情報が公開されているリポジトリの中で、認証情報 や API トークンなどを自動的にスキャンすることを発表した。この機能を利用する開発者は、リポジトリ内で GitHub Advanced Security が有効になっていることを確認する必要がある。GitHub の担当者は、「GitHub.com の公開リポジトリでは、これらの機能は常にオンになっており、プロジェクトの可視性を変更して、コード非公開にした場合にのみ、無効にすることができる」と述べている。ユーザー名やパスワードと同様に、これらの機密情報やトークンは、サービスを利用する際に自分自身を認証するために使用する文字列である。

この記事では、サードパーティの API に依存しているアプリケーションでは、API サービスにアクセスするために、コードの中で機密情報 (APIの秘密鍵) を使用することがよくあると指摘しています。そのため、機密情報が漏洩すると、ソフトウェアのサプライチェーン全体に影響をおよぼし、さらに大規模な攻撃につながるため、注意する必要があります。GitHub は今回の変更に先立ち、誤ってコミットされた npm / NuGet / Clojars などの機密情報をスキャンしていたようです。BleepingComputer によると、現時点で GitHub Advanced Security がサポートしている機密情報の種類は、70以上にもおよぶとのことです。

%d bloggers like this: