ギットハブ・ジャパン合同会社(GitHub)は12月23日、secret scanningの機能のアップデートを発表した。
Secret scanningアラートは、コードにシークレットの漏えいがある場合にユーザーに直接通知、迅速な保護の実現のためにパートナーにも通知するが、リポジトリに関する包括的な保護手段をユーザー自身が所有できるようになる。また、セルフホスト型のHashiCorp Vaultのキーが公開されている場合など、パートナーには通知できないシークレットについてのアラートも通知する。これによりすべてのアラートをいつでも簡単に追跡し、漏えい元を詳しく調査したり、アラートに対して実行されるアクションを監査できる。
GitHubではパブリックリポジトリを対象に、パブリックベータ版Secret scanningの段階的な展開を開始しており、2023年1月末までに、全ユーザーが本機能を利用可能となる予定。
またGitHubではあわせて、GitHub Advanced Securityを利用する組織の管理者は、ワンクリックでプッシュ時にカスタムパターンの保護ができる旨を公表している。
企業はGitHub Advanced Securityを利用することで、プッシュ保護を用いてシークレットの漏えいを阻止し、下流工程での修正時間を節約できる。GitHubではプッシュ保護を4月にリリースして以来、既に100種類、8,000件以上のシークレット漏えいを阻止している。
カスタムパターンを定義している企業は、定義済みのカスタムパターンごとにプッシュ保護を有効化できるようになり、どのパターンを公開するか、どのパターンを最初にドラフトモードとして徐々に改良していくかを選ぶことで、プッシュ保護を行うパターンを誤検知に基づいて決定することが可能となる。
カスタムパターンの定義は、リポジトリ、Organization、Enterpriseのレベルで行え、プッシュ保護を有効にすると、コントリビュータがプッシュしようとするコードに定義済みパターンと一致するパターンが含まれている場合に、ブロックが適用される。