GitHubは米国時間2月29日、「Secret Scanning」のプッシュ保護機能を公開リポジトリーへの全プッシュに対してデフォルトで有効にした。
Secret Scanningのプッシュ保護機能は、シークレットが検出されたコミットを自動的にブロックする。サポートされているシークレットが公開リポジトリーへのプッシュで検出されると、シークレットをコミットから削除するか、シークレットの安全性が確かな場合にはブロックを解除するかを選択できる。
2023年8月以来、全ての「GitHub」クラウドユーザーは、同機能をオプトインできるようになっており、先週には全ユーザーを対象に順次提供が開始されていた。今回の変更は、1〜2週間をかけて全ユーザーのアカウントに適用されると同社は述べる。「Code security and analysis」設定でステータスを確認し、順次提供前にオプトインすることも可能。
プッシュ保護機能が有効でも、ブロックを阻止するためのオプションが用意されている。また、GitHubは推奨していないが、セキュリティ設定でプッシュ保護機能を無効にもできる。代わりに、ブロックを回避するオプションがあることから、プッシュ保護機能を有効にし、必要に応じて例外を適用する方法を推奨している。
非公開リポジトリーに対しては、組織が「GitHub Enterprise」プランを導入している場合、「GitHub Advanced Security」を追加することで対応できるとGitHubは説明する。包括的なDevSecOpsプラットフォームソリューションの一部として、「Code Scanning」、AIを活用した「autofix」によるコード提案、他のStatic Application Security Testing(SAST)機能とともに、Secret Scanningの他の全機能も利用できるという。