ACS事業部 亀崎です。
シークレット漏洩の事実
みなさん次の事実をご存知でしょうか。
GitHubのパブリックリポジトリで2024年度だけで3900万以上のシークレットが漏洩しています。
皆さんがご利用になっているリポジトリはプライベートな状態になっていると思います。 しかし、プライベートな状態であってもシークレット情報が残るのは好ましくありません。 もちろん誰も意図的にシークレット情報をリポジトリに登録しようとはしていないでしょう。 パブリックリポジトリでも同様なはずです。 しかし、何かしらのミスで登録してしまうこともあります。たとえば
- 気づかないうちに(無意識のうちに)シークレットを含むものをコミットしてしまった
- .envやcredential filesなどを.gitignoreで登録除外するのを忘れていた。(コピー等をしてファイル名が変わり、そのままコミットしてしまった)
といった人間のミスによるものです。
その結果が3900万以上のシークレットを検出しているという結果になっているのです。
一度混入してしまった場合、コミット履歴にずっと残り続けます。これを変更するのはとても大変・面倒な作業です。 だからこそ、シークレットを登録しない・させない仕組みを導入しなければならないのです。
こちらのビデオも参考になると思います。
GitHub Secret Scanning
シークレットを登録しない・させない仕組みがGitHubのSecret Scanningです。
Secret Scanningを導入し、リポジトリのプッシュ保護を有効化することで、リポジトリにシークレットを含む情報をプッシュすることを防止できます。 プライベートリポジトリのSecret ScanningにはGitHub Advanced Security/GitHub Secret Protectionをご購入していただく必要があります。
ぜひ導入をご検討ください。
最後に
弊社ではCloud Nativeなシステム開発に関するご支援をさせていただいております。サービス内容については以下のリンク先でご紹介させていただいておりますのでぜひご覧ください。
