GitHub でのシークレット セキュリティについて

GitHubのセキュリティ ツールを使用して、シークレットリークを特定、修復、防止する方法について説明します。

この機能を使用できるユーザーについて

Organizations on GitHub Team or GitHub Enterprise

GitHub Secret Protection は、次のユーザーが使用できる GitHub Advanced Security 内の一連の機能です。

  • GitHub Team プランのユーザー
  • GitHub Enterprise Cloud と GitHub Enterprise Server 上の Enterprise の organization

この記事の内容

GitHub には、漏洩したシークレットに対する組織の露出を理解し、対処するのに役立つツールが用意されています。

  •         **シークレット リスク評価**: 漏洩したシークレットに対する組織の現在の露出を明らかにする無料のオンデマンド スキャン。

  •         **GitHub Secret Protection**: 既存のシークレットを検出し、新しいリークがリポジトリ全体にわたって発生するのを防ぐ包括的な機能スイート。

シークレット リスク評価

シークレット リスク評価により、組織の所有者とセキュリティ マネージャーは、組織のリポジトリを自由にポイントインタイム スキャンして、API キー、トークン、パスワードなどの漏洩したシークレットを特定できます。

無料のシークレット リスク評価を実行する方法を確認する

評価で表示される内容

評価レポートには次のものが含まれます。

  •         **検出されたシークレットの合計数**: 組織内で公開されているシークレットの集計数。

  •         **パブリック リーク**: 誰でもアクセスできるパブリック リポジトリで見つかったシークレット。

  •         **防止可能なリーク**: プッシュ保護を有効にしてブロックされた可能性があるシークレット。

  •         **シークレット カテゴリ**: シークレットの種類の分布 (AWS キー、GitHub トークン、汎用パスワードなど)。

リスクを評価する理由

定期的な評価は、次の問題を防ぐのに役立ちます。

  • システムとデータへの不正アクセス
  • 侵害された資格情報によるサービスの中断
  • 規制コンプライアンスの問題
  • リソースの誤用による財務上の損失
  • セキュリティ インシデントによる評判の低下

GitHub Secret Protection

GitHub Secret Protection は、GitHub Advanced Security 製品であり、組織内でのシークレットリークの発生を防止し、検出し、修正を支援するための一連の機能が含まれています。

secret risk assessment では、組織が現在抱える機密情報のリスクについて、その瞬間の状況を可視化しますが、GitHub Secret Protection:

  •         **継続的な監視を実装** し、コードを超えてスキャンされたサーフェスを拡張して、プル要求、問題、Wiki、ディスカッションを含めます

  •         **シークレットが** GitHub に保存される前に、シークレットを含むコミットをブロックすることでシークレット リークを防止します。
  • キャンペーンにグループ化してチーム メンバーに割り当てて修復できるアクション可能なアラートを作成します。
  • 組織固有のパターンと、パスワードなどの非構造化シークレットをスキャンして 、特定のニーズを満たします
  • 保護をバイパスしてアラートを無視できるユーザーを指示する設定を使用して 、大規模なガバナンスをサポートします
  • 組織のシークレット セキュリティ専用のビューを使用してキー分析を表示する

GitHub Secret Protection は、これらの機能を通じて組織に全面的なカバー範囲を提供し、コストのかかる機密情報漏洩や手間のかかる修復プロセスのリスクを軽減します。

GitHub Secret Protection の特定の機能の詳細については、 AUTOTITLE を参照してください。

次のステップ

GitHub がシークレットを安全に保つためにどのように役立つかがわかったので、漏洩したシークレットに対する組織の現在の露出を評価する必要があります。 「組織のシークレット リスク評価の実行」を参照してください。