リポジトリ内の資格情報をハードコーディングすると、資格情報の漏洩、未承認のアクセス、データ侵害、組織への多大なコストが発生する可能性があります。 これらのリスクとその保護方法の詳細については、 秘密漏えいリスク を参照してください。
GitHub には、漏洩したシークレットに対する組織の露出を理解し、対処するのに役立つツールが用意されています。
- シークレット リスク評価: 漏洩したシークレットに対する組織の現在の露出を明らかにする無料のオンデマンド スキャン。
**
GitHub Secret Protection
**: 既存のシークレットを検出し、リポジトリ全体の新しいリークを防ぐ包括的な機能スイート。
シークレット リスク評価
シークレット リスク評価により、組織の所有者とセキュリティ マネージャーは、組織のリポジトリを自由にポイントインタイム スキャンして、API キー、トークン、パスワードなどのハードコーディングされた資格情報を識別し、組織全体でシークレットが拡散する程度を把握できます。
評価で表示される内容
評価レポートには次のものが含まれます。
-
**検出されたシークレットの合計数**: 組織内で公開されているシークレットの集計数。 -
**パブリック リーク**: 誰でもアクセスできるパブリック リポジトリで見つかったシークレット。 -
**防止可能なリーク**: プッシュ保護を有効にしてブロックされた可能性があるシークレット。 -
**シークレット カテゴリ**: シークレットの種類 (AWS キー、 GitHub トークン、汎用パスワードなど) の配布。
リスクを評価する理由
定期的な評価は、次の問題を防ぐのに役立ちます。
- システムとデータへの不正アクセス
- 侵害された資格情報によるサービスの中断
- 規制コンプライアンスの問題
- リソースの誤用による財務上の損失
- セキュリティ インシデントによる評判の低下
GitHub Secret Protection
GitHub Secret Protection は、組織内のシークレット リークの防止、検出、修復を支援するように設計された一連の機能を含む GitHub Advanced Security 製品です。
secret risk assessmentでは、組織の現在のシークレットの公開状態を特定の時点で表示しますが、次のGitHub Secret Protection。
- 継続的な監視を実装 し、コードを超えてスキャンされたサーフェスを拡張して、プル要求、問題、Wiki、ディスカッションを含めます
- ハードコーディングされたシークレットを含むコミットを保存する前にブロックすることで、資格情報の漏洩を防ぎます。GitHub
- キャンペーンにグループ化してチーム メンバーに割り当てて修復できるアクション可能なアラートを作成します。
- 組織固有のパターンと、パスワードなどの非構造化シークレットをスキャンして 、特定のニーズを満たします
- 保護をバイパスしてアラートを無視できるユーザーを指示する設定を使用して 、大規模なガバナンスをサポートします
- 組織のシークレット セキュリティ専用のビューを使用してキー分析を表示する
これらの機能を通じて、GitHub Secret Protection は組織に包括的なカバーを提供し、コストのかかる資格情報の漏洩、シークレットの散逸、および手間のかかる修復のリスクを軽減します。
GitHub Secret Protectionの特定の機能の詳細については、「[AUTOTITLE](/code-security/getting-started/github-security-features#available-with-github-secret-protection)」を参照してください。
次のステップ
シークレットを安全に保つために GitHub 方法がわかったので、漏洩したシークレットに対する組織の現在の露出を評価する必要があります。 「組織のシークレット リスク評価の実行」を参照してください。