GitHubシークレットスキャン - カバレッジの更新
GitHubは秘密情報スキャン機能を更新し、LangchainやSalesforceなど7プロバイダーからの9種類の新しいシークレット検出器を追加、npmトークンの有効性チェックをサポート、FigmaやGoogleなどの既存検出器をデフォルトでプッシュ保護に含め、ユーザー体験を改善した。
キーポイント
新規シークレット検出器の追加
Langchain、Salesforce、Figmaなど7つのプロバイダーから9種類の新しい秘密情報検出器が追加され、Fieldguide、Flickr、Hack ClubなどのAPIトークンやキーを自動検出できるようになった。
有効性チェックの拡張
npm_access_tokenに対して有効性チェックがサポートされ、検出されたシークレットがまだ有効かどうかを自動的に検証し、修復の優先順位付けを支援する。
プッシュ保護のデフォルト設定拡大
Figma、Google、OpenVSX、PostHogの既存検出器がデフォルトでプッシュ保護に含まれるようになり、これらのパターンに一致するシークレットを含むコミットがブロックされる。
ユーザー体験の改善
プッシュ保護パターン設定UIでパターンタイプ名がフィルタリングされたアラートリストビューにリンクされるようになり、設定と監視が容易になった。
影響分析・編集コメントを表示
影響分析
この更新は、開発者エコシステム全体のセキュリティ成熟度を高める重要な進展である。特にAI開発で重要なLangchainなどのツールがカバーされたことで、AIプロジェクトのコードセキュリティが強化される。デフォルトでのプッシュ保護拡大は、ヒューマンエラーによるシークレット漏洩を予防的に防ぎ、開発ワークフローにセキュリティを組み込むDevSecOpsの実践を促進する。
編集コメント
AI開発プロジェクトで頻繁に使用されるLangchainがカバーされた点は注目に値する。シークレット管理の自動化と予防的保護の強化は、急速に拡大するAI開発エコシステムのセキュリティ基盤整備に貢献する。
GitHubシークレットスキャンは、検出器、検証器、アナライザーを継続的に更新しています。今回の新機能は以下の通りです。
- Langchain、Salesforce、Figmaなど7つのプロバイダーに由来する9つの新しいシークレット検出器が追加されました。
- Figma、Google、OpenVSX、PostHogのシークレットは、デフォルトでプッシュ保護の対象となりました。
- npmシークレット(npm_access_token)に対して有効性チェックがサポートされるようになりました。
前回の更新内容を見逃した方は、最近追加された検出器を確認するか、製品ドキュメントでサポートされているシークレットの完全なリストをご覧ください。
追加された検出器
シークレットスキャンがリポジトリ内で自動検出する新しいシークレットの種類は以下の通りです。
| プロバイダー | シークレットタイプ | パートナー | ユーザー | プッシュ保護 |
|---|---|---|---|---|
| Fieldguide | fieldguide_api_token | ✓ | ✓ | (設定可能) |
| Figma | figma_scim_token | ✓ | ✓ | ✓ (デフォルト) |
| Flickr | flickr_api_key | ✓ | (設定可能) | |
| Hack Club | hackclub_ai_api_key | ✓ | (設定可能) | |
| Langchain | langsmith_license_key | ✓ | ✓ (デフォルト) | |
| Langchain | langsmith_scim_bearer_token | ✓ | ✓ (デフォルト) | |
| PostHog | posthog_oauth_access_token | ✓ | ✓ | (設定可能) |
| PostHog | posthog_oauth_refresh_token | ✓ | ✓ | (設定可能) |
| Salesforce | salesforce_marketing_cloud_api_oauth2_token | ✓ | ✓ (デフォルト) |
Drone CI、Netlify、Pydantic、Twitchの検出器は現在観察モードにあり、検証後に一般提供へ移行します。更新情報はGitHub Changelogをご確認ください。
- パートナーシークレット: シークレットスキャンパートナーシッププログラムを通じて公開リポジトリで発見された場合、自動的にシークレット発行者に報告されます。技術パートナープログラムの詳細はこちらをご覧ください。
- ユーザーシークレット: 公開またはプライベートリポジトリで発見された場合、シークレットスキャンアラートを生成します。詳細はシークレットスキャンに関するドキュメントをご覧ください。
追加された検証器
以下のシークレット種類について、検出されたシークレットが現在も有効か自動的に検証し、対応の優先順位付けに役立つ有効性チェックがサポートされるようになりました。
| プロバイダー | シークレットタイプ |
|---|---|
| npm | npm_access_token |
プッシュ保護のデフォルト設定
以下の既存の検出器が、デフォルトでプッシュ保護の対象に追加されました。プッシュ保護が有効な場合、これらのパターンに一致するシークレットを含むコミットはブロックされます。
| プロバイダー | シークレットタイプ |
|---|---|
| Figma | figma_scim_token |
google_gcp_api_key_bound_service_account | |
| OpenVSX | openvsx_access_token |
| PostHog | posthog_personal_api_key |
デフォルトでプッシュ保護に含まれるシークレット種類は、無料の公開リポジトリを含め、シークレットスキャンが有効なすべてのリポジトリに適用されます。「設定可能」と記載されたパターンは、GitHubシークレットスキャンをご利用のお客様がプッシュ保護設定で個別に有効化できます。詳細はプッシュ保護に関するドキュメントをご覧ください。
プッシュ保護の設定機能改善
GitHubは、皆様からのフィードバックに基づき、シークレットスキャン機能のユーザーエクスペリエンスを絶えず改善しています。本日より、プッシュ保護のパターン設定UIにおいて、パターン種類名がその種類にフィルターされたアラート一覧画面へリンクするようになります。
さらにフィードバックをお持ちですか? GitHub Community のディスカッションに参加してお聞かせください。
詳細情報
シークレットスキャンの詳細およびサポートされているシークレットの完全なリストは、製品ドキュメントをご覧ください。
*この投稿「GitHubシークレットスキャン — 対応範囲の更新」は、The GitHub Blog に最初に掲載されました。*
原文を表示
GitHub secret scanning continually updates its detectors, validators, and analyzers. Here’s what’s new.
Nine new secret detectors from seven providers, including Langchain, Salesforce, and Figma.
Secrets from Figma, Google, OpenVSX, and PostHog are now push-protected by default.
Validity checks are now supported for npm secrets (npm_access_token).
Missed our last update? Catch up on recently added detectors or see the full list of supported secrets in our product documentation.
Detectors added
Secret scanning now automatically detects the following new secret types in your repositories.
Provider
Secret type
Partner
User
Push protection
Fieldguide
fieldguide_api_token
✓
✓
(configurable)
Figma
figma_scim_token
✓
✓
✓ (default)
Flickr
flickr_api_key
✓
(configurable)
Hack Club
hackclub_ai_api_key
✓
(configurable)
Langchain
langsmith_license_key
✓
✓ (default)
Langchain
langsmith_scim_bearer_token
✓
✓ (default)
PostHog
posthog_oauth_access_token
✓
✓
(configurable)
PostHog
posthog_oauth_refresh_token
✓
✓
(configurable)
Salesforce
salesforce_marketing_cloud_api_oauth2_token
✓
✓ (default)
Detectors for Drone CI, Netlify, Pydantic, and Twitch are currently in observation mode and will be promoted to general availability after validation. Keep an eye on the GitHub changelog for updates.
Partner secrets are automatically reported to the secret issuer when found in public repositories through the secret scanning partnership program. Learn more about the technical partnership program for secret scanning.
User secrets generate secret scanning alerts when found in public or private repositories. Learn more in our documentation about secret scanning.
Validators added
The following secret types now support validity checks, which automatically verify whether a detected secret is still active to help prioritize remediation.
Provider
Secret type
npm
npm_access_token
Push protection defaults
The following existing detectors are now included in push protection by default. When push protection is enabled, these patterns will block commits containing matching secrets.
Provider
Secret type
Figma
figma_scim_token
google_gcp_api_key_bound_service_account
OpenVSX
openvsx_access_token
PostHog
posthog_personal_api_key
Secret types that are included in push protection by default apply for all repositories with secret scanning enabled, including for free public repositories. Patterns marked as configurable are available for GitHub secret scanning customers to enable in their push protection settings. Learn more in our documentation about push protection.
Push protection configurability
GitHub is constantly improving the user experience for secret scanning features based on your feedback. Starting today, pattern type names in the push protection pattern configurations UI will link back to a filtered alert list view for that type.
Have more feedback? Let us know by joining the discussion in GitHub Community.
Learn more
Learn more about secret scanning and see the full list of supported secrets in our product documentation.
The post GitHub secret scanning — coverage update appeared first on The GitHub Blog.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み