GitHubは、開発者がリポジトリにアクセスする際に誤ってコード内に残してしまう機密データに対する保護機能の強化を発表しました。例えば、DBMSのパスワード、トークン、APIアクセスキーを含む設定ファイルがリポジトリに侵入してしまうケースがあります。以前は、スキャンはパッシブモードで実行され、既に発生してリポジトリに侵入した漏洩を特定することができました。漏洩を防ぐため、GitHubは機密データを含むコミットを自動的にブロックするオプションも提供し始めました。
このチェックはgit push中に実行され、コード内に一般的なAPIへの接続トークンが検出された場合、セキュリティ警告を生成します。さまざまな種類のキー、トークン、証明書、資格情報を検出するために、合計69個のテンプレートが実装されています。誤検知を排除するため、確実に検出されるトークンタイプのみがチェックされます。ブロック後、開発者は問題のあるコードを確認し、リークを修正して再コミットするか、ブロックをfalseとしてマークするよう求められます。
漏洩を防止するオプションは現在、GitHub Advanced Security サービスにアクセスできる組織でのみ利用可能です。パッシブ スキャンはすべてのパブリック リポジトリでは無料ですが、プライベート リポジトリでは有料サービスのままです。パッシブスキャンにより、すでにプライベートリポジトリ内の機密データの漏洩が 700 万件以上特定されていると報告されています。
出所: オープンネット.ru
