認証情報失効APIがGitHub OAuthとGitHubアプリ認証情報をサポート
GitHubは、資格情報取り消しAPIを拡張し、GitHub OAuthやGitHubアプリの資格情報を含む複数のトークンタイプをプログラムで取り消せるようにし、資格情報漏洩時の影響を迅速に制限してソフトウェアエコシステムのセキュリティを向上させた。
キーポイント
API拡張による資格情報取り消しの強化
資格情報取り消しAPIが拡張され、GitHub OAuthやGitHubアプリの資格情報を含む複数のトークンタイプをプログラムで取り消せるようになった。これにより、資格情報漏洩時の影響を迅速に制限できる。
未認証APIによる広範な利用可能性
このAPIはgithub.comの全ユーザーが利用可能な未認証APIであり、個人アクセストークン(クラシック)、細粒度個人アクセストークン、OAuthアプリトークン、GitHubアプリユーザー間トークン、GitHubアプリリフレッシュトークンなど、複数の資格情報タイプをサポートしている。
一括取り消しと自動通知機能
APIは一括取り消しリクエストをサポートし、有効なトークンを受け取ると自動的に取り消し、トークン所有者のセキュリティログに記録する。また、所有者のプライマリメールアドレスに取り消し通知を送信する。
悪用防止のための制限措置
APIの悪用を防ぐため、1時間あたり60回の未認証リクエストと、APIリクエストごとに最大1,000トークンという制限が設けられている。
影響分析・編集コメントを表示
影響分析
この機能拡張は、ソフトウェア開発におけるセキュリティプラクティスを強化し、資格情報漏洩時の対応を迅速化することで、開発者コミュニティ全体のセキュリティ意識向上に寄与する。特にオープンソースプロジェクトや大規模な開発チームにおいて、セキュリティインシデントの影響範囲を最小限に抑える実用的なツールとなる。
編集コメント
GitHubのセキュリティ機能強化は、開発者エコシステム全体の信頼性向上に直結する重要なアップデート。特に未認証APIとして広く利用可能にした点は、コミュニティ全体でのセキュリティ対応を促進する効果的なアプローチと言える。
タイトル: Credential revocation APIがGitHub OAuthおよびGitHub Appの認証情報をサポート
私たちはCredential revocation APIを拡張し、追加のトークンタイプをサポートしました。これにより、リポジトリやその他の場所で発見された漏洩した認証情報をプログラムで失効させることが可能になります。これによって、認証情報漏洩の影響を迅速に限定し、ソフトウェアエコシステムのセキュリティを向上させることができます。
リポジトリ上で発見した、侵害されたまたは漏洩したトークンが、たとえ自身のものでなくても、一括失効リクエストを送信して失効させられるようになりました。
この認証不要のAPIはgithub.comの全ユーザーが利用でき、以下の認証情報タイプをサポートします:
Personal access tokens (classic)
Fine-grained personal access tokens
OAuth app tokens
GitHub App user-to-server tokens
GitHub App refresh tokens
APIが有効なトークンを受け取ると、自動的にそのトークンを失効させ、トークン所有者のセキュリティログに失効を記録します。漏洩したトークンがGitHub組織へのアクセス権を持っていた場合、そのアクセスは直ちに削除されます。GitHubは失効された認証情報を再度有効化することはできません。トークン所有者は新たな認証情報を生成する必要があります。
また、APIは失効を、所有者のGitHubユーザーアカウントに登録されたプライマリメールアドレスにメールで通知します。
悪用を防ぐため、このAPIは1時間あたり60件の認証不要リクエスト、および1リクエストあたり最大1,000トークンに制限されています。
GitHub Communityでの議論にご参加ください。
この投稿「Credential revocation API now supports GitHub OAuth and GitHub app credentials」は、The GitHub Blogで最初に公開されました。
原文を表示
We’ve extended the Credential revocation API to support additional token types, enabling you to programmatically revoke any exposed credentials found on repositories or elsewhere. This helps you quickly limit the impact of credential exposure and improve the security of the software ecosystem.
You can now submit a bulk revocation request to revoke compromised or exposed tokens that you found on repositories, even if they aren’t yours.
This unauthenticated API is available for all users on github.com and supports these credential types:
Personal access tokens (classic)
Fine-grained personal access tokens
OAuth app tokens
GitHub App user-to-server tokens
GitHub App refresh tokens
When the API receives a valid token, it automatically revokes the token and logs the revocation in the token owner’s security log. If the exposed token had access to a GitHub organization, that access is immediately removed. GitHub can’t reactivate any credentials that have been revoked; the token owner will need to generate new credentials.
The API also notifies the token owner of the revocation through an email sent to the primary email address associated with the owner’s GitHub user account
To prevent abuse, this API is limited to 60 unauthenticated requests per hour and a maximum of 1,000 tokens per API request.
Join the discussion within GitHub Community.
The post Credential revocation API now supports GitHub OAuth and GitHub app credentials appeared first on The GitHub Blog.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み