機密情報の公開を防ぐGitHubの有償セキュリティ機能、無償で提供開始

GitHubは5月9日(米国時間)、「Push protection is generally available, and free for all public repositories｜The GitHub Blog」において、セキュリティ機能「Push Protection」をパブリックリポジトリに対しても無償で提供すると伝えた。この機能を使用することで、パブリックリポジトリに誤ってパスワードやアクセストークンなどを含めてしまうなどのミスを回避しやすくなるとされている。

• Push protection is generally available, and free for all public repositories｜The GitHub Blog

GitHubは「GitHub Advanced Security (GHAS)」ライセンスを購入しているユーザーのプライベートリポジトリに対し、Push Protectionの機能を提供している。この機能は2022年4月にベータ版として導入され、それ以来すでに1万7000件の機密情報漏洩を防止したと説明されている。

Push Protection機能はデフォルトでは無効になっている。この機能を使う場合、メニューから「Settings」を選択し、「Code security and analysis」→「Secret scanning」の「Enable all」をクリックする。また、「Secret scanning」と「Push protection」の「Automatically enable for new public repositories」および「Automatically enable for repositories added to secret scanning」にチェックを入れる。

GitHubは開発者にとってデファクトスタンダードなホスティングサービスであり、世界中で利用されている。開発者はしばしばこのサービスのリポジトリに誤ってパスワードやアクセストークンといった機密情報を含めてしまうことがある。サイバー攻撃者はGitHubのパブリックリポジトリを走査して機密情報を収集して悪用していることがわかっている。

今回GitHubがパブリックリポジトリに対しても無償公開を開始したPush Protection機能は、このようなサイバー攻撃への悪用を防止する機能として効果が期待できる。