Gitリポジトリにパスワードをコミットするのを防ぐ9つのツール

Check Point Software Technologiesは3月18日(米国時間)、「Top 9 Git Secret Scanning Tools for DevSecOps - Check Point Software」において、Gitリポジトリのシークレットスキャンに利用できる9つのソリューションを紹介した。いずれもパスワード、APIキー、デジタル証明書など鍵に相当するデータがGitリポジトリに追加される、または、されてしまったことを検出することなどができるツールだとされている。

Top 9 Git Secret Scanning Tools for DevSecOps - Check Point Software

ソフトウェア開発において、Gitは欠かすことのできないツールになっている。しかし、人為的ミスや教育の欠如などが原因で、GitリポジトリにパスワードやAPIキーなどの「鍵」データが追加され、そのまま情報漏洩につながるケースが後を絶たない。

Check Point Software Technologiesはこうした誤って「追加されてしまう」または「されてしまった」鍵データを検出するソリューションとして、以下を紹介している。

gitLeaks - GitHubやローカルのリポジトリのパスワード、APIキー、トークンなどのハードコードされたシークレットデータを検出するオープンソースのシークレットスキャンツール。積極的に開発が進められている。セキュリティ専門家、研究者、開発プロジェクト向き
Spectral - 包括的にビルドプロセスに統合されたシークレットスキャンソリューション。直感的なユーザーインタフェースを持ち、大規模なコードベースで共同作業する開発チーム向け
Git-Secrets - CI/CDパイプラインに統合してリアルタイムにシークレットデータの追加を防止するオープンソースのツール。比較的単純なアルゴリズムを使用
Whispers - ハードコードされたアカウント情報と危険な機能を検出するために設計されたオープンソースの静的コード分析ツール。さまざまなフォーマットに対応している。単体で利用するというよりも、他のシークレットスキャンソリューションと組み合わせて使うように設計されている
GitHub Secret scanning partner program - GitHubの提供するシークレットスキャンソリューション。GitHubユーザーインタフェースに統合されており、プロセスの視覚化が容易になる。チーム版やエンタープライズ版ではすでにリリースされている機能で、エンタープライズ版にはアドバンスド機能も追加されている
Gittyleaks - Gitリポジトリのスキャンおよびクローンが可能なオープンソースの簡易シークレットスキャナコマンドラインツール。シンプルで扱いやすい反面、商用開発チームが必要とする機能と柔軟性には欠ける
Scan - 包括的なオープンソースのセキュリティ監査ツール。GitHub以外の一般的なリポジトリやパイプラインに対応。無料で入手できる最も強力で柔軟なDevSecOpsツール。複雑なセットアップやUIという難しい面があり、最良の結果を得るには腕の立つセキュリティ専門家などのスキルが必要
Git-all-secrets - オープンソースのシークレットスキャナ集約プロジェクト。概念実証(PoC: Proof of Concept)などでの利用が期待できる。
Detect-secrets - 新しいシークレットデータがコードベースに入るのを防ぐことを目的としたオープンソースのツール。18種類のプラグインが利用可能。ただし、シークレットデータが複数行に分割されていたり、十分なエントロピーが含まれていない場合にはリアルタイムで検出できない可能性がある