動機
なんとかBCのソースコードがGithub上に公開される形で流出するという騒ぎについて、これを防ぐにはどうすればよかったのかを考えます。
題名にあるように、公開されてほしくないソースコードがGithubに公開されていれば検知し、公開してる本人や関係者に通知する仕組みが出来れば今回の騒ぎは防げたような気がします。
その経緯を雰囲気で見てみると、
- 実際にソースコードが公開されてすぐに騒ぎになっているわけではなく、公開されてから騒ぎになるまである程度の期間がある。
- 公開した本人はGithubをほとんどわかってなく、公開してはいけないソースが公開されている状態にあることを理解していなかった。
とある気がするので、もしソースコードの公開自体をやってしまったとしても、すぐに対処できていれば、騒ぎには至らなかったと思います。
方法
一般公開されてほしくないリポジトリにダミーのAWSキーペアを追加します。もしくは第3者に渡っても問題なく、かつそれが使用された場合、関係者に通知されるようなAWSキーペアを一般公開されてほしくないリポジトリに追加しておきます。
AWSキーペアは、もしGithubに一般公開された場合、それを利用してくれたり、公開されていることを通知してくれる方々がいます。その通知を受けることでAWSキーペアと同時にソースコードが一般公開されていることを察することができる気がします。
実際、常にGithubをクローリングし、AWSキーペアが流出してないか調べ、見つけたら実際に利用するという有難い人たちが存在するそうです。またAWS、Githubも、キーペアが公開されていると教えてくれるそうです。
参考 GitHub に AWS キーペアを上げると抜かれるってほんと???試してみよー!
https://qiita.com/saitotak/items/813ac6c2057ac64d5fef
この方法の問題点
git-secretsなどのツールと競合します。
というか
筆者が題名のようなことをやるまともな方法を知らない
この記事の後にLeakCopというサービスが発表。サービス開始は3月を予定だそう。料金などそれ以上の詳細は記事に書いてないので不明です。
https://news.allabout.co.jp/articles/o/27641/