GitHubは米国時間10月4日、「Secret Scanning」の有効性チェックをAmazon Web Services(AWS)、Microsoft、Google、Slackの一部トークンに拡大した。
GitHubでは、クレデンシャル漏えいを全てなくすというミッションのもと、「Secret Scanning」を開始している。同ミッションの支援を目的に、2023年には、オープンソースユーザーがシークレット漏えいを検出・防止できるよう、パブリックリポジトリーでのSecret ScanningとSecret Scanningプッシュ保護機能を無償化している。また、「GitHub Advanced Security」顧客が組織全体での傾向をよりよく把握できるよう、プッシュ保護メトリクスも提供済みだ。
しかし、優れたセキュリティ体験とは、ノイズを減らし、信頼性の高いアラートを配信することだけではなく、修復作業が簡単かつ迅速に実施される必要があるとGitHubは述べる。修復において重要な要素は、トークンが有効かどうかを評価することとの考えから、同社は、2023年に入りGitHubトークンの有効性チェックを導入し、手作業と摩擦をプロセスから減らした。ユーザーインターフェース(UI)でトークンのステータスを確認できるため、時間の節約と修復作業の効率的な優先順位付けが可能になるという。これは、多数のアラートを確認する必要がある場合に特に便利な機能だとGitHubは説明する。
今回、有効性チェックの対象となったトークンは、GitHubのリポジトリーで検出される最も一般的な種類のシークレットだという。同社はSecret Scanningパートナープログラムにおいて、より多くのトークンに対して検証サポートを継続的に拡大していく予定だとしている。進行状況は、サポートされているパターンのリストで確認できる。
有効性チェックの有効化は、「Settings」の「Code security and analysis」から可能。「Secret scanning」までスクロールし、「Automatically verify if a secret is valid by sending it to the relevant partner」にチェックを入れると、GitHub以外のトークンに対して有効性チェックが有効になる。
有効性チェックは、Secret Scanningのアラートを調査する際に利用可能な情報の一つ。この機能により、アラートのトリアージと修復作業のスピードと効率が向上することをGitHubは期待している。
