GitHub’s secret scanning alerts now available for all public repos
2023/03/01 BleepingComputer — GitHub が発表したのは、すべての公開リポジトリにおいて、シークレット・スキャン・アラート・サービスが利用できるようになり、公開履歴全体にわたって流出したシークレットを検出できるようになったことだ。このシークレットとは、GitHub のリポジトリに誤って追加された APIキー/アカウントパスワード/認証トークンなどの機密データであり、攻撃者によるセキュリティ侵害や非公開データへのアクセスなどへといたる可能を生じるものだ。
一般的に脅威アクターたちは、公開されている GitHub リポジトリを検索し、認証秘密を入手することで企業になりすまし、ネットワーク侵入/データ窃取などを実施する。
2022年12月に GitHub は、機密データの偶発的な公開を開発者が発見できるようにするために、200以上のトークン形式をスキャンする、無料のシークレット・スキャン機能のベータ版を、すべてのパブリック・リポジトリに展開し始めた。それ以来、70,000 のパブリック・リポジトリで、この新機能が有効化されている。
そして 2023年3月1日に GitHub は、このサービスが一般的に利用可能になったことを発表し、すべてのパブリック・リポジトリの所有者/管理者は、データを保護するためにシークレット・スキャン・アラートを有効化できるようになった。
GitHub の発表には、「今日から、GitHub のシークレット・スキャニング・アラートが、すべてのパブリック・リポジトリで一般公開され、無料で利用できるようになった。すべての所有するリポジトリで、シークレット・スキャニング・アラートを有効化すると、リポジトリの全履歴にわたって、Code/Issues/Description/Comments などにおける漏洩したシークレットが通知される」と記されている。
GitHub はリポジトリの所有者に対して、漏洩したシークレット・インシデントを通知するが、それに加えて 100 以上のシークレット・スキャン・パートナーに対して、漏洩したシークレットを通知し続け、認証トークンを失効させ、顧客に通知できるようにする。
関係するパートナーへの連絡が不可能な場合には、管理者に警告することで、公開されたシークレットがリポジトリから削除する必要がある。
GitHub は、DevOps Consultant and Trainer である @rajbos の例を用いて、シークレット・スキャナーとアラートの威力を強調している。彼は、この機能を有効にしたことで、13,954 の公開 GitHub Action リポジトリうちの 1,110 (7.9%) で、シークレットを見つけ出したと述べている。
Rob Bos は、「GitHub Advanced Security の使用について、多くの人々にレクチャーしているが、自分のリポジトリでもシークレットを見つけた。複数年にわたる経験を積んでいるが、それは自分自身にも起こることなのだ。それくらい、間違ってシークレットを入れてしまうことは簡単なことなのだ」と述べている。
公開リポジトリを管理する GitHub ユーザーの場合には、”Settings” タブを開き、セキュリティ・セクションの “Code security and analysis” オプションをクリックし、ページ下部の “Secret Scanning” の “Enable” をクリックすれば、シークレット・スキャン・アラートを有効化できる。
この、シークレット・スキャニングの仕組みや、新機能の活用方法については、GitHub のドキュメントを参照して欲しい。
このブログで、GitHub で検索してみると、さまざまな記事が出てきます。OSS リポジトリとセキュリティという、折り合いのつきにくい関係の中で、ポジティブなものから、ネガティブなものまで、多種多様です。今日の記事と関連しそうなものを、いくつか選んでみましたので、よろしければ、ご参照ください。
2023/01/09:GitHub に追加された脆弱性スキャン
2022/05/02:GitHub で発生した OAuth トークン悪用
2022/04/04:GitHub にトークン保護機能が追加
2022/03/03:不適切なソースコード管理と機密情報の漏洩
2022/02/17:GitHub の新しいコード・スキャン
IoT OT Security News 
You must be logged in to post a comment.