秘密鍵・APIトークンなどのクレデンシャル情報のコードへの流入を防ぐ、Secret Scanの提供を開始

SiderにSecret Scanという新しい機能が加わりました。Secret ScanはAPIのシークレットキー、RSA秘密鍵などの秘密情報がGitHub Pull Request内に含まれていないかを自動的に検査する機能です。Pull Requestの更新毎に自動的に検査されます。

先日提供を開始したブランチ全体を解析する機能でも検査可能なため、現在のリポジトリ・ソースコード内に秘密情報が含まれないかどうかを検査することが可能です。もしSiderから秘密情報を含むコードをコミットしてしまっていることが報告された場合、その秘密情報は速やかに無効化して下さい。

Secret Scanの動作イメージ

Secret Scanによって検出されたSSH秘密鍵、AWSアカウントID

Secret Scanのご利用方法

Secret Scanはリポジトリ設定のToolsからSecret ScanをEnableにしていただく事でご利用いただけます。

セキュリティに関する問題を検出することは非常に重要であるため、Siderを利用されている全てのリポジトリでこの機能は有効に設定される予定です。

提供に至った背景

セキュリティに関する検査を行う商用サービスは以前から多くあります。その多くはGitと連携出来ないものでしたが、最近ではGitHubに対応したものも提供されるようになりました。

いくつかの企業がそういった製品を提供していますが、今回のSider Secret Scanが低価格かつ機能のカバー範囲が大きいことから総合的に優れていると考えております。

本機能はSiderの全てのユーザ様が追加の料金のお支払いなくご利用をいただけます。

おわりに

ソフトウェア開発におけるセキュリティへの取り組みは非常に重要です。DevSecOpsに対する取り組みへの重要度は高まっています。コーディング時にセキュリティに関する問題を未然に防ぐためにSiderで秘密鍵等のクレデンシャルがソースコードに含まれることを抑止するSecret Scan機能をリリースしました。

今後もDevSecOpsに必要な機能の提供を図っていく予定です。今後もぜひご利用下さい。

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.