GitHub、すべてのパブリックリポジトリに対してSecret scanningアラートの一般提供（GA）を開始

オープンソースプロジェクトおよびビジネスユースを含む、ソフトウェアの開発プラットフォームを提供するGitHub, Inc.（本社：米国サンフランシスコ）は、2023年2月28日(米国時間)にGitHub上のすべてのパブリックリポジトリでSecret scanningアラートを無料で利用できるようになったと発表しました。管理者はワンクリックでアラートを有効化できます。







(リンク »)


GitHubは、2022年12月に、すべてのパブリックリポジトリに対して、Secret scanningアラートのパブリックベータ版（ (リンク ») ）の提供開始を発表しました。ユーザーは使用しているすべてのリポジトリに対してSecret scanningアラートを有効化し、コード、Issue、説明文、コメントなどリポジトリの履歴全体にわたりシークレットの漏洩について通知を受け取ることができます。

リリース以降、7万ものパブリックリポジトリでSecret scanningアラートが有効化され、漏洩したシークレットのトリアージに大きく貢献しています。

GitHubのSecret scanningは、GitHubパートナープログラムに参加している100社以上のサービスプロバイダーと連携しており、シークレット漏洩時のユーザーへのアラート通知に加えて、パートナーへの通知も継続します。Secret scanningアラートを有効化すると、パートナーには通知できないアラート（例えば、セルフホスト型のキーが公開された場合など）が届くようになります。その際、アラートに対して取られたアクションの完全な監査ログも提供されます。

大規模なリスクが完全に可視化
DevOpsコンサルタント兼トレーナーである@rajbos（ (リンク ») ）は、約14,000のリポジトリに対してSecret scanningを有効化し、1,000件を超えるシークレットを発見しました。

Robは次のように述べています。「私自身の実体験から、なぜ、すべての人がSecret scanningを有効にすべきか証明されました。14,000のパブリックGitHub Actionリポジトリを調査したところ、1,000件以上のシークレットを発見したのです。私自身が多くの人にGitHub Advanced Securityの使い方についてトレーニングを行ってきたにも関わらず、今回の調査で自身のリポジトリにシークレットがあることがわかりました。この業界での経験は浅くないにも関わらず、自分自身にも起きていました。それくらい、意図せずシークレットを含めてしまうことがあるということです。Secret scanningを有効にしておくと、シークレットに関する通知が届きます。パートナーが自動で取り消しを行うことにより、コードの安全性が少し高まります」

Robの経験の全容については、下記ブログ記事から、ご確認いただけます。
(リンク »)

ワンクリックで有効化が可能
パブリックリポジトリの所有者や管理者であれば、誰でもSecret scanningアラートを有効化できます。企業の管理者やOrganizationのオーナーは、複数のリポジトリに対して一括で有効化できます。有効化するには、[設定] タブに移動して、[セキュリティ] の下にある [コードのセキュリティと分析] をクリックし、[Secret scanning] の横にある [有効] をクリックしてください。




(リンク »)


リポジトリのSecret scanningアラートを有効にする詳しい方法については、GitHubのドキュメント（ (リンク ») ）をご確認ください。

GitHub Secret scanningパートナーになる
共有ユーザーをシークレットの漏洩から保護することに興味があるサービスプロバイダーは、Secret scanningパートナープログラム（ (リンク ») ）への参加をご検討ください。現在、GitHubは200個以上のパターンと100社以上のパートナー（ (リンク ») ）をサポートしています。ご参加に際しては、secret-scanning@github.comまでご連絡ください。

GitHub Blog
英語： (リンク »)

日本語： (リンク »)

GitHubに関する情報は、こちらからもご覧いただけます。
Blog： (英語) (リンク ») 　　　(日本語) (リンク »)
Twitter： (英語) @github( (リンク ») )　　　
　　　　 (日本語) @GitHubJapan( (リンク ») )

【GitHub について】 (リンク »)
GitHubは「開発者ファースト」の思想のもと、開発者のコラボレーションおよび困難な問題解決、世界にとって重要なテクノロジーの創出を促進させるための開発環境を提供しています。また、ソフトウェアを起点とする新たな未来を創造し、世界に変化をもたらすため、個人または企業規模に関わらず、ベストなコラボレーションができるコミュニティの拡大を支援しています。
安全なソフトウェア開発には、日常のワークフローの中でできる限り早いタイミングで脆弱性を発見し、対処できる仕組みづくりが重要です。GitHubは、企業とオープンソースのメンテナーが、ソフトウェア開発のライフサイクル全体を通じて、安全にコーディングできるようにするツールとプロセスを構築しています。
GitHubは、開発者がコードを開発、共有、そしてリリースする場です。学生や趣味で開発を行う人、コンサルタント、エンタープライズの開発者、経営者など、初心者から高い専門性をもつ世界8,300万人以上の方々および400万以上のOrganizationに利用されています。GitHubは単なるソースコードを共有する場ではありません。GitHubはオープンソースコラボレーションの源としてさまざまなソリューションを提供します。