デプロイ保護のための信頼できるソース機能
Vercel は、長期シークレットの共有を不要にするため、OIDC トークンベースの「Trusted Sources」機能を導入し、プロジェクト間および外部サービスからのデプロイ保護認証を標準化しました。
キーポイント
セキュリティモデルの刷新
長期有効な「Protection Bypass for Automation」シークレットの共有に代わり、短期有効な OIDC トークンを利用する新しい認証方式が推奨されます。
プロジェクト間および外部連携の強化
同じチーム内の別プロジェクトや、GitHub Actions などの外部 OIDC プロバイダーを信頼ソースとして登録し、環境ごとの細かいアクセス制御が可能になります。
検証プロセスの自動化
リクエスト時にヘッダーに付与された OIDC トークンの署名と主張(claims)を Vercel が自動的に検証し、ルールに合致する環境のみがデプロイを実行できます。
影響分析・編集コメントを表示
影響分析
この発表は、クラウドネイティブ環境における CI/CD パイプラインのセキュリティ標準を OIDC ベースにシフトさせる重要な転換点です。開発者は手動で管理する長期シークレットから解放され、ゼロトラストアーキテクチャに基づいた動的な権限付与が可能になることで、インフラ全体の攻撃面が大幅に縮小されます。
編集コメント
長期間にわたり業界の課題となっていた「CI/CD シークレット管理」の問題に対し、OIDC という現代的な標準プロトコルで解決策を提示した点は高く評価できます。特に大規模チームや外部連携が多いプロジェクトにおいて、即座にセキュリティリスクを低減できる実用的なアップデートです。
Trusted Sources を使用すると、保護されたデプロイメントは、Vercel プロジェクトやあなたが許可した外部サービスから発行される短期有効なアイデンティティトークン(OIDC)を受け付けることができます。これにより、自動化用の長期有効な Protection Bypass シークレットを共有する必要がなくなります。Trusted Sources は推奨されるアプローチですが、Protection Bypass for Automation も引き続き機能します。
呼び出し元は、x-vercel-trusted-oidc-idp-token ヘッダーに OIDC トークンを添付します。その後、Vercel が署名を検証し、あなたが設定したクレームを確認し、環境がルールと一致していることを確認します。
Vercel プロジェクトの承認
デフォルトでは、プロジェクトの Vercel OIDC トークンは、そのプロジェクト自身のデプロイメントを呼び出すことができます。同じチーム内の別のプロジェクトを許可するには、それを Trusted Sources に追加してください。
自己アクセスおよびクロスプロジェクトルールは、どちらも from/to 環境ペアでカスタマイズ可能です。プロジェクトからのリクエストを認証するには、その Vercel OIDC トークンを転送します。
外部サービスの承認
GitHub Actions や別のチームの Vercel プロジェクトなど、任意のカスタム OIDC プロバイダーを信頼できる外部サービスとして承認できます。
詳細についてはドキュメントをお読みください。
さらに読む
原文を表示
Trusted Sources lets protected deployments accept short-lived identity tokens (OIDC) from Vercel projects and external services you authorize, so you no longer have to share a long-lived Protection Bypass for Automation secret. Trusted Sources is the recommended approach, but Protection Bypass for Automation continues to work
Callers attach an OIDC token in the x-vercel-trusted-oidc-idp-token header. Vercel then verifies the signature, checks the claims you configured, and confirms the environment matches the rule.
Authorize Vercel projects
By default, the Vercel OIDC token for a project can call its own deployments. To authorize another project in the same team, add it to Trusted Sources.
Self-access and cross-project rules are both customizable with from/to environment pairs. To authenticate a request from a project, forward its Vercel OIDC token:
Authorize external services
Any custom OIDC provider can be authorized as a trusted external service, such as GitHub Actions, or a Vercel project in another team.
Read the documentation to learn more.
Read more
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み