企業向けシークレットスキャンの公開監視機能
GitHub は、エンタープライズ向けに秘密鍵の公開監視機能を無償で提供開始し、開発者の個人アカウントや外部リポジトリでの漏洩もリアルタイムで検知・追跡可能とした。
キーポイント
公開監視機能の概要と目的
GitHub Secret Protection を持つエンタープライズが対象となり、開発者の個人フォークやオープンソースプロジェクトなど、リポジトリ境界を越えた秘密鍵の漏洩をリアルタイムで検知する。
高度な所属特定(Attribution)メカニズム
GitHub のアイデンティティ層とドメイン検証を活用し、コミッターが組織メンバーであるか、または業務用メールを使用しているかを基に、漏洩を正確に企業へ帰属させる。
スキャン範囲と検知対象
git コントロール、プルリクエストのコメント、GitHub イシューなど、github.com 上のあらゆる公開コンテンツを対象とし、設定不要で即座に利用開始できる。
公開監視の開始方法
企業オーナーやセキュリティ管理者は、Security タブから「公開監視」機能を有効化できます。
機能の動作と効果
有効化すると直近の漏洩したシークレットが確認可能になり、GitHub が将来の一致を自動的にスキャンし始めます。
影響分析・編集コメントを表示
影響分析
この機能は、従来の境界防御モデルの限界を補完し、開発者の行動に起因するインサイダー脅威や誤操作によるデータ漏洩リスクを劇的に低減させる。特に、外部のオープンソースコミュニティや個人アカウントでの活動が組織のセキュリティに影響を与える現代の開発環境において、リアルタイムな可視性を確保する上で決定的な役割を果たす。
編集コメント
開発者の個人アカウントや外部リポジトリでの秘密鍵漏洩は、従来のスキャンでは検知が困難な「盲点」でしたが、この機能によりそのギャップを埋める画期的な進展です。設定不要で即座に活用できる点は、セキュリティチームの負担軽減にも寄与します。
GitHub は、組織が秘密の漏洩リスクをどこで発生しても認識し対処できるよう支援することで、開発者コミュニティを強化することにコミットしています。私たちは、企業は GitHub 上のどこで秘密が公開された瞬間にもそれを把握すべきだと考えています。そのため、GitHub Secret Protection を持つ企業の皆様向けに、追加費用なしで「パブリックモニタリング」の一般プレビューを開始しました。秘密は境界線を尊重しませんので、それらのスキャンも同様であるべきです。
パブリックモニタリングとは何ですか?
GitHub は、github.com のすべての公開領域をリアルタイムで監視し、漏洩した秘密を検出します。パブリックモニタリングでは、その秘密がどこからコミットされたかに基づき、企業に帰属させます。
秘密のスキャン(Secret scanning)は、これまであなたが所有するリポジトリを保護してきました。しかし、秘密はその境界線を越えて漏洩します。例えば、開発者が個人フォークやオープンソースプロジェクトにコミットしたり、公開されたイシューやプルリクエストにトークンを貼り付けたりすることがあります。これは多くの場合、セキュリティチームが追跡していないアカウントから行われます。このような露出はこれまでほぼ発見不可能であり、悪意のあるアクターによって悪用されて初めて表面化することがほとんどでした。
公開モニタリングはこのギャップを埋めます。この機能はこれらの脆弱性を発見し、貴社に帰属させることで迅速な対応を可能にします。この機能は github.com 上のあらゆる公開コンテンツ(git コンテンツ、プルリクエストのコメント、GitHub イシューを含む)で漏洩したシークレットを検索し、GitHub のアイデンティティレイヤーと検証済みドメインを通じて、それぞれをネイティブに貴社に帰属させます。
アクティビティが GitHub 上で行われるため、帰属処理も同様に、リアルタイム(夜間の非同期クロールではなく)、ネイティブプラットフォームメタデータに基づく確定的なものであり(コミットメールからの推測ではなく)、任意の公開リポジトリ全体にわたって行われます。
公開モニタリングはセットアップや設定を必要とせず、「そのまま」動作します。有効化するだけで結果を確認できます。
帰属処理はどのように機能するのでしょうか?
GitHub は、主に 2 つのヒューリスティック(推定手法)を用いて、公開された発見事項を貴社に帰属させます。これには GitHub のアイデンティティレイヤー、ドメイン検証、トークンメタデータ全体からのメタデータが活用されます。
方法 | 確認内容 | 検出対象
---|---|---
メンバーベースの帰属 | コミッターの GitHub アカウントが貴社の企業メンバーに所属しているか | 管理されたアカウントおよび既知のメンバーからの漏洩
検証済みドメイン一致 | コミッターのメールが、組織または企業が検証済みのドメインに含まれているか | ワーク用メールアドレスを使用する個人アカウントからの漏洩
検証済みドメインの一致は、アカウントがエンタープライズにリンクされていない場合や、電子メールが公開されていない場合でも適用されます。各検出結果には、その原因となった方法、シークレットの種類、公開場所(例:ファイル、イシュー、プルリクエスト、ディスカッションなど)、コミッターが表示されます。
パブリックモニタリングを有効にする方法は?
エンタープライズの所有者およびエンタープライズセキュリティマネージャーは、[Security] タブからパブリックモニタリングを有効にできます。一度有効化すると、最近漏洩したシークレットを確認でき、GitHub が将来の一致を検索し始めます。
詳細情報
シークレットスキャンおよびパブリックモニタリングの詳細については、製品ドキュメントをご覧ください。フィードバックはありますか?ディスカッションに参加して教えていただければ幸いです—私たちは耳を傾けています。
本記事「Secret scanning public monitoring for enterprises」は、最初に The GitHub Blog で公開されました。
原文を表示
GitHub is committed to empowering the developer community by helping organizations recognize and address the risks of secret leaks wherever they happen. We believe every enterprise should know the moment its secrets leak in public, no matter where it happens on GitHub. That’s why public monitoring is now in public preview for enterprises with GitHub Secret Protection, at no additional cost. Secrets don’t respect boundaries; scanning for them shouldn’t either.
What is public monitoring?
GitHub monitors the entire public surface of github.com for leaked secrets in real time. Public monitoring attributes those secrets back to your enterprise, based on where your people commit.
Secret scanning has always protected the repositories you own. But secrets leak beyond that boundary. For example, a developer commits to a personal fork or an open source project, or they paste a token into a public issue or pull request, and this often happens from an account your security team isn’t tracking. Exposures like these were nearly impossible to find and often only surfaced after they’d been abused by bad actors.
Public monitoring closes that gap. It finds these vulnerabilities and attributes them to your enterprise so you can respond quickly. The feature scans for secrets exposed anywhere in public content across github.com—including git content, pull request comments, and GitHub issues—and natively attributes each one back to your enterprise, through GitHub’s identity layer and verified domains.
Because the activity happens on GitHub, so does the attribution: in real time (not a nightly async crawl), definitively with native platform metadata (not on a guess from a commit email), and across arbitrary public repositories (not just surfaces where you tell us to look).
Public monitoring works “out of the box” with no setup or configuration required; just enable it and start seeing results.
How does attribution work?
GitHub attributes a public finding to your enterprise using two main heuristics, leveraging metadata across GitHub’s identity layer, domain verification, and token metadata.
Method
What it checks
Catches
Member-based attribution
The committer’s GitHub account belongs to your enterprise as an enterprise member
Leaks from managed accounts and known members
Verified domain matching
The committer’s email is on a domain your organization or enterprise has verified
Leaks from personal accounts using a work email
Verified domain matching applies even when the account isn’t linked to your enterprise and even when the email isn’t public. Each finding shows which method attributed it, along with the secret type, the public location (e.g. file, issue, pull request, discussion, etc.), and the committer.
How to enable public monitoring?
Enterprise owners and enterprise security managers can enable public monitoring from their Security tab. Once enabled, you’ll see recently leaked secrets, and GitHub will begin scanning for future matches.
Learn more
Learn more about secret scanning and public monitoring in our product documentation. Have feedback? Let us know by joining the discussion—we’re listening.
The post Secret scanning public monitoring for enterprises appeared first on The GitHub Blog.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み