Hello, we are fossBytes.

fossBytesに1月10日(米国時間)に掲載された記事「Hacker Publishes Open Source Tool For Finding Secret Keys On GitHub」が、GitHubに誤ってコミットしてしまったデータを見つけ出すツール「Truffle Hog」を紹介した。GitHubを使って開発を実施している場合、こうしたツールを活用することで誤ってパスワードをコミットしてしまったといった事態を検出しやすくなる。

昨今、開発用のリポジトリおよびプロジェクト管理またはコミュニケーションツールとして、GitHubが使われるケースが増えている。GitHubは開発で必要とされるバージョン管理機能を提供するのみならず、プロジェクト管理やコミュニケーションのための機能も提供しており、開発者から高い評価を得ている。

こうしたパブリックに公開されているサービスを使っている場合、開発中に誤ってパスワードやセキュリティキーをソースコードとともにコミットしてしまい、システムに侵入するためのヒントを攻撃者に与えてしまうことがある。しかし、Truffle Hogのようなツールを活用することで、こうした意図していない誤ったコミットの検出が容易になり、セキュリティの強化を図ることができる。