シークレットスキャンの拡張メタデータとマルチパート検証機能
GitHub がシークレット漏洩時の所有権や影響範囲を把握するため、サポート対象のシークレットタイプに対して拡張されたメタデータを公開し、マルチパート検証器による補足メタデータのサポートを開始した。これにより開発・セキュリティチームは露出評価と優先対応を迅速化できる。
漏洩したシークレットの所有権と影響を理解していただくために、GitHub のシークレットスキャンでは、対応するシークレットタイプに対して拡張されたメタデータを公開しています。拡張メタデータチェックは現在一般利用可能となり、補完的なメタデータを含むマルチパートバリデーターのサポートも含まれています。
何が変わったのか?
これらの更新により、既存の有効性チェックが拡張され、トリアージと修復のためのより実用的なコンテキストが提供されます。これにより、開発チームとセキュリティチームは暴露状況をより迅速に評価し、修復の優先順位を決定できるようになります。
シークレットスキャンはすでにほとんどのシークレットプロバイダーに対して有効性チェックを実行しており、検出されたシークレットがアクティブかどうかを検証しています。今後は、これらのチェックをサポートするプロバイダーからの追加メタデータを含めるように拡張できます。これには、シークレットの所有者、作成日と有効期限、プロジェクトまたは組織のコンテキストに関する詳細が含まれます。
メタデータは、リストビューおよび詳細ビュー全体で公開されます。具体的には、アラートリストフィルター、セキュリティキャンペーン作成、Webhook イベント、REST API が該当します。GitHub はシークレットのメタデータを表示するために最善を尽くしますが、メタデータの可用性はシークレットプロバイダー、トークンタイプ、さらには特定の時点における特定のシークレットによっても異なります。
さらに、一部のシークレットタイプでは、有効性を判断するためにシークレットのリテラル(文字列)そのものだけでは不十分な場合があります。可能な限り、GitHub は補完的なメタデータを活用して、シークレットがまだアクティブかどうかを判断します。マルチパート有効性チェックは、主要なプロバイダーにおける主要な資格情報フォーマットを現在カバーしています。
対象範囲には、Alibaba Cloud、Databricks のトークンとワークスペース URL の組み合わせ、複数の Microsoft Azure キーとホストまたはエンドポイントのペアなどが含まれます。
GitHub は、追加のシークレットタイプに対するサポートを順次継続的に追加していきます。
詳細はこちら
シークレットスキャンを使用してリポジトリを保護する方法や、サポート対象となるシークレットの完全なリストについては、当社のドキュメントをご覧ください。
本記事「Secret scanning extended metadata and multipart validation」は、The GitHub Blog に最初に掲載されました。
原文を表示
To help you understand ownership and impact of a leaked secret, GitHub secret scanning surfaces enriched metadata for supported secret types. Extended metadata checks are now generally available, including support for multipart validators with supplementary metadata.
What’s new?
These updates expand on existing validity checks to give more actionable context for triage and remediation, enabling development and security teams to assess exposure faster and prioritize remediation.
Secret scanning already performs validity checks for most secret providers, verifying whether a detected secret is active. You can now extend those checks to include additional metadata from supported providers, including details about a secret’s owner, secret creation and expiry dates, and project or organization context.
Metadata is surfaced across list and detail views, including alert list filters, security campaign creation, webhook events, and the REST API. GitHub makes a best effort to display metadata for the secret—metadata availability can vary by secret provider, token type, and possibly even for a specific secret at different points in time.
In addition, some secret types require more than the secret literal itself to determine its validity. When possible, GitHub will leverage supplementary metadata in order to determine if a secret is still active. Multipart validity checks now cover key credential formats across major providers.
Coverage includes Alibaba Cloud, Databricks token and workspace URL combinations, multiple Microsoft Azure key and host or endpoint pairs, and more.
GitHub will continually add support for additional secret types on a rolling basis.
Learn more
Learn more about securing your repositories with secret scanning and see the full list of supported secrets in our documentation.
The post Secret scanning extended metadata and multipart validation appeared first on The GitHub Blog.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み