はじめに
本記事はGitHubのSecret scanning alertsについて記載しています。
2023年2月28日、GitHubのブログでSecret scanning alerts are now available (and free) for all public repositoriesが公開されています。
上記ブログの情報を踏まえて、Secret scanning alertsがすべてのパブリックリポジトリで無料で利用できるようになりました。
従ってSecret scanning alertsを有効化することで、code, issues, description, and commentsに関するクレデンシャル情報が漏洩した場合、アラートを通知することができます。
Secret scanning alertsの設定
Secret scanning alertsを有効化するための手順について以下に記載します。
-
有効化したいパブリックリポジトリの「Settings」タブに移動し、「Security」下部の「Code security and analysis」を押します。
-
「Secret scanning」の「Enable」を押します。
Secret scanning alertsの確認方法
該当するクレデンシャル情報が漏洩した場合は、メール通知と合わせて「Security」タブの「Secret scanning」から確認できます。
Secret scanningの詳細については、公式ドキュメントのAbout secret scanningから確認できます。
また、AWSやGCPなどGitHubが対応しているパートナーの情報については、Secret scanning patternsから確認できます。
おわりに
試しにAWSの公式ドキュメントに記載されているダミーのアクセスキーで試しましたが、通知されませんでした。
恐らくダミーのアクセスキーは除外されていると思われます。
是非この機会にGitHubのSecret scanning alertsを有効化して、セキュリティリスクを低減しましょう。