GitHubは10月4日(米国時間)、「Introducing secret scanning validity checks for major cloud services - The GitHub Blog」において、シークレットスキャン機能を拡張し、Amazon Web Services(AWS)、Microsoft、Google、Slackの一部トークンに対する有効性チェックを可能にしたと発表した。

  • Introducing secret scanning validity checks for major cloud services - The GitHub Blog

    Introducing secret scanning validity checks for major cloud services - The GitHub Blog

GitHubのシークレットスキャンは誤ってリポジトリにコミットされた各種サービスの認証情報を検出して通報する機能。認証情報が検出された場合はそのフォーマットからサービスプロバイダを特定して通報する仕組みで、これにより認証情報の悪用が防止できる。シークレットスキャンは「Secret scanning partner program - GitHub Docs」にて詳しく解説されている。

  • シークレットスキャンの仕組み - 提供:GitHub

    シークレットスキャンの仕組み 引用:GitHub

GitHubによると、企業および組織の所有者とポジトリの管理者は、GitHub設定の「Code security and analysis」からシークレットスキャンを有効にできるという。また、「Secret scanning」の「Automatically verify if a secret is valid by sending it to the relevant partner」にチェックを入れることでGitHub以外のトークンの有効性チェックを機能させることが可能。

  • シークレットスキャンの設定 - 提供:GitHub

    シークレットスキャンの設定 引用:GitHub

GitHubはすべての認証情報の漏えいを排除するためにシークレットスキャンを開始、今後もより多くのトークンに対する検証サポートを継続的に拡大していくとしている(参考:「Secret scanning patterns - GitHub Enterprise Cloud Docs」)。GitHubの利用者は必要に応じてシークレットスキャンを有効化し、認証情報の漏えい検出と悪用防止に役立てることが望まれている。